Ultimas Noticias
-
Vulnerabilidad de Missing Authorization en Auto Affiliate Links <= 6.4.3
El plugin Auto Affiliate Links para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función aalAddLink en todas las versiones hasta, e incluyendo, la 6.4.3. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, añadan enlaces arbitrarios a las publicaciones.…
-
Mollie Forms <= 2.6.3 – Falta de Autorización
El plugin Mollie Forms para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidades en la función exportRegistrations en todas las versiones hasta, e incluyendo, la 2.6.3. Esto hace posible que atacantes autenticados, con acceso de subscriptor o superior, puedan exportar datos de pago recopilados por…
-
Vulnerabilidad en Mollie Forms <= 2.6.3 – Falta de autorización para la duplicación arbitraria de entradas
La vulnerabilidad en el plugin Mollie Forms para WordPress permite la duplicación no autorizada de entradas debido a la ausencia de una comprobación de capacidad en la función duplicateForm en todas las versiones hasta, e incluyendo, la 2.6.3. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, dupliquen entradas y páginas arbitrarias.…
-
Profile Box Shortcode And Widget <= 1.2.0 – Cross-Site Scripting almacenado autenticado (Admin+)
El plugin Profile Box Shortcode And Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 1.2.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores,…
-
Colibri Page Builder <= 1.0.260 – Falta de Autorización
El plugin Colibri Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función callActivateLicenseEndpoint en todas las versiones hasta, e incluyendo, la 1.0.260. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen la clave de licencia.…
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 3.4.3 – Cross-Site Scripting almacenado no autenticado
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘offline_status’ en todas las versiones hasta, e incluyendo, la 3.4.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios…
-
EventPrime – Calendario de Eventos, Reservas y Tickets <= 3.4.2 – Bypass de Pago de Reserva no Autenticado
Se ha descubierto una vulnerabilidad en el plugin EventPrime – Calendario de Eventos, Reservas y Tickets para WordPress que permite eludir el pago de reservas en todas las versiones hasta, e incluyendo, la 3.4.2. Esto se debe a que el plugin permite a usuarios no autenticados actualizar el estado de los pagos de reservas. Esto…