Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 a través de gráficos
En este informe de seguridad, se revela una vulnerabilidad crítica en la versión hasta 2023.2 del plugin de WordPress enigma-chartjs. Se trata de una vulnerabilidad de Cross-Site Scripting almacenada que permite a atacantes autenticados, con acceso de editor y superior, inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda…
-
Stripe Payment Plugin for WooCommerce <= 3.7.9 – Inyección de SQL sin autenticación
El plugin Stripe Payment para WooCommerce en WordPress es vulnerable a una inyección de SQL sin autenticación a través del parámetro ‘id’ en todas las versiones hasta la 3.7.9. Esto se debe a una escape insuficiente en el parámetro proporcionado por el usuario y una preparación insuficiente en la consulta SQL existente. Esto permite a…
-
AI Engine <= 2.1.4 – Subida arbitraria de archivos autenticada (Editor+) a través de add_image_from_url
En este informe de seguridad, se ha descubierto que el plugin AI Engine: Chatbots, Generators, Assistants, GPT 4 and more! para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación del tipo de archivo en la función ‘add_image_from_url’ en todas las versiones hasta y incluyendo la 2.1.4. Esto permite…
-
Booking for Appointments and Events Calendar – Amelia <= 1.0.93 – Cross-Site Scripting almacenado a través de shortcode autenticado (Contributor+)
En este artículo, abordaremos una vulnerabilidad de seguridad en el plugin de WordPress ‘Booking for Appointments and Events Calendar – Amelia’ en versiones anteriores a 1.0.93. La vulnerabilidad permite a atacantes autenticados con permisos de nivel ‘contributor’ o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página…
-
Product Import Export for WooCommerce <= 2.3.7 – Carga de archivos arbitrarios autenticada (Administrador de tienda+) a través de upload_import_file
El complemento Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘upload_import_file’ en todas las versiones hasta, e incluyendo, la 2.3.7. Esto permite a atacantes autenticados, con acceso de Administrador de tienda o superior, cargar archivos…
-
Fluent Forms <= 5.1.5 – Autenticación (Administrador+) Stored Cross-Site Scripting a través del título del formulario importado
La vulnerabilidad conocida como Cross-Site Scripting (XSS) es una de las principales preocupaciones en términos de seguridad web. En este informe, analizaremos una vulnerabilidad específica en el plugin ‘Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms’, que permite a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium <= 2.3.2
En este post te informaremos sobre una vulnerabilidad de Cross-Site Scripting almacenada en la versión 2.3.2 y anteriores del plugin GeneratePress Premium para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior, inyectar scripts web maliciosos en páginas específicas del sitio. La vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium…