Ultimas Noticias
-
WP Recipe Maker <= 9.1.0 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de header_tag
El plugin WP Recipe Maker para WordPress es vulnerable a Cross-Site Scripting almacenada a través del atributo ‘header_tag’. Esto permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. El plugin WP Recipe Maker es…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Recipe Maker <= 9.1.0 a través del campo 'Referer'
El plugin WP Recipe Maker para WordPress es vulnerable a Reflected Cross-Site Scripting a través del encabezado ‘Referer’ en todas las versiones hasta, e incluyendo, la versión 9.1.0 debido a una sanitización insuficiente de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si…
-
WP Recipe Maker <= 9.1.0 – Cross-Site Scripting almacenada por usuario autenticado (Contributor+) a través de Shortcode
El plugin WP Recipe Maker para WordPress es vulnerable a Cross-Site Scripting almacenada a través del shortcode del plugin en todas las versiones hasta, e incluyendo, 9.1.0 debido a una sanitización insuficiente de la entrada y un escapado insuficiente de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con…
-
Getwid – Gutenberg Blocks <= 2.0.4 – Falta de autorización para la modificación de la clave de API de Recaptcha
El plugin Getwid – Gutenberg Blocks para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función recaptcha_api_key_manage en todas las versiones hasta, e incluyendo, la 2.0.3. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, agregar, modificar o eliminar la…
-
Getwid – Gutenberg Blocks <= 2.0.4 – Bypass de Captcha
El plugin Getwid – Gutenberg Blocks para WordPress es vulnerable a un Bypass de Captcha en las versiones hasta, e incluyendo, la 2.0.4. Esto permite que atacantes no autenticados eludan la verificación de Captcha del bloque de Formulario de Contacto al omitir ‘g-recaptcha-response’ del array ‘data’. El Bypass de Captcha en el plugin Getwid –…
-
Advanced Custom Fields <= 6.2.4 – Scripting entre sitios almacenado (Contributor+) autenticado a través de Campo Personalizado
En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin Advanced Custom Fields (ACF) para WordPress. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts maliciosos en las páginas a las que acceden los usuarios. En este artículo, veremos los detalles de esta vulnerabilidad y las posibles soluciones para mitigar el riesgo. La…
-
WP Spell Check <= 9.17 – Cross-Site Request Forgery
El plugin WP Spell Check para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 9.17. Esto se debe a la validación de nonce faltante o incorrecta en la función wpscx_admin_empty_render(). Esto permite que atacantes no autenticados actualicen una clave API mediante una solicitud falsificada, siempre y cuando puedan engañar a…