Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery en LadiApp Plugin para WordPress
El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de verificación de nonce en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes no autenticados cambien la clave de LadiPage (una clave completamente controlada por el atacante),…
-
Vulnerabilidad CSRF en LadiApp <= 4.4 a través de save_config()
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin LadiApp para WordPress debido a la falta de verificación de nonce en la función save_config() en versiones hasta, e incluyendo, la 4.3. Esto permite a atacantes no autenticados actualizar la opción ‘ladipage_config’ mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio…
-
LadiApp <= 4.4 – Cross-Site Request Forgery a través de ladiflow_save_hook()
El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de una comprobación de nonce en la función ladiflow_save_hook() en versiones hasta, e incluyendo, la 4.4. Esto hace posible que atacantes no autenticados actualicen la opción ‘ladiflow_hook_configs’ a través de una solicitud falsificada, siempre y cuando puedan engañar a un…
-
LadiApp: Vulnerabilidad de Cross-Site Request Forgery en versiones <= 4.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin LadiApp para WordPress permite a atacantes no autenticados modificar ajustes y crear nuevas publicaciones en un sitio web si logran engañar a un administrador para realizar una acción como hacer clic en un enlace. El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery…
-
LadiApp <= 4.4 – Autorización Faltante a través de ladiflow_save_hook()
El plugin LadiApp para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función ladiflow_save_hook() en versiones hasta, e incluyendo, la 4.3. Esto permite que atacantes autenticados con acceso de suscriptor y superior actualicen la opción ‘ladiflow_hook_configs’. Para subsanar este problema, se recomienda…
-
Vulnerabilidad en LadiApp: Missing Authorization en publish_lp()
La vulnerabilidad en el plugin LadiApp para WordPress, identificada con el ID CVE-2023-4728, permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite a atacantes autenticados con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en Newsletter2Go <= 4.0.13
El plugin Newsletter2Go para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘style’ en todas las versiones hasta, e incluyendo, la 4.0.13 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que…