Ultimas Noticias
-
Element Pack Elementor Addons <= 5.10.12 – Falta de Autorización
El plugin Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid, Carousel y Remote Arrows) para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de verificación de capacidades en la función get_layouts() en todas las versiones hasta, e incluyendo, la 5.10.12. Esto permite que atacantes autenticados, con acceso…
-
Barter <= 1.6 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Contribuidores+)
El tema Barter para WordPress es vulnerable a Cross-Site Scripting Almacenado en versiones hasta, e incluyendo, 1.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a…
-
PCRecruiter Extensions <= 1.4.10 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin PCRecruiter Extensions para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘PCRecruiter’ en todas las versiones hasta, e incluyendo, la 1.4.10 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…
-
WP Project Manager <= 2.6.15 – Divulgación de Información Sensible a través de la API REST de la Lista de Tareas del Proyecto
El complemento WP Project Manager para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6.15 a través del punto final de la API REST de la Lista de Tareas del Proyecto (‘/wp-json/pm/v2/projects/1/task-lists’). Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, extraer datos…
-
AutomatorWP <= 5.0.9 – XSS reflejado a través de a-0-o-search_field_value
El plugin AutomatorWP para automatizaciones sin código, webhooks e integraciones personalizadas en WordPress es vulnerable a XSS reflejado a través del parámetro ‘a-0-o-search_field_value’ en todas las versiones hasta, e incluyendo, 5.0.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…
-
Vulnerabilidad en File Manager Pro – Filester <= 1.8.6 permite instalación no autorizada del plugin Filebird
El plugin File Manager Pro – Filester para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘ajax_install_plugin’ en todas las versiones hasta, e incluyendo, la 1.8.6. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor y superior, instalar el…
-
Vulnerabilidad en Plugin de Botón – Divulgación de Publicación Autenticada a través de Duplicación de Publicaciones
El plugin Button Block – Get fully customizable & multi-functional buttons para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 1.1.5 a través de la función ‘btn_block_duplicate_post’. Esto permite a atacantes autenticados, con acceso de Nivel Contribuidor y superior, extraer datos potencialmente sensibles de publicaciones en…