Ultimas Noticias
-
Vulnerabilidad de autorización en el plugin POST SMTP Mailer para WordPress
El plugin POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP for WordPress es vulnerable a un acceso no autorizado y modificación de datos debido a un problema de manipulación de tipos en el punto de conexión REST connect-app en todas las versiones hasta, e incluyendo, la 2.8.7. Esto permite a…
-
Vulnerabilidad de Cross-Site Request Forgery en el plugin WP Register Profile With Shortcode <= 3.5.9
El plugin WP Register Profile With Shortcode para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 3.5.9. Esto se debe a la falta de validación de nonce en la función update_password_validate. Esto permite a atacantes no autenticados restablecer la contraseña de un usuario mediante una solicitud falsificada, siempre y…
-
EventON – Plugin de Calendario Virtual de Eventos para WordPress <= 4.5.4 (Pro) & <= 2.2.8 (Free) – Cross-Site Request Forgery a través de save_virtual_event_settings
El plugin EventON – Plugin de Calendario Virtual de Eventos para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 4.5.4 (Pro) & 2.2.8 (Free). Esto se debe a una validación de nonce faltante o incorrecta en la función save_virtual_event_settings. Esto permite a atacantes no autenticados modificar la configuración…
-
Vulnerabilidad de CSRF en EventON – Plugin de calendario de eventos virtuales de WordPress
En este artículo se aborda una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin EventON – Calendario de eventos virtuales de WordPress. Se han identificado versiones afectadas hasta la 4.5.4 (Pro) y la 2.2.7 (Free). El plugin EventON – Calendario de eventos virtuales de WordPress presenta una falla de validación de identificador único (nonce)…
-
Vulnerabilidad de autorización faltante en el plugin EventON – WordPress Virtual Event Calendar
En este artículo, se discutirá una vulnerabilidad de autorización que afecta al plugin EventON – WordPress Virtual Event Calendar. Esta vulnerabilidad permite a atacantes no autenticados modificar y eliminar metadatos de publicaciones arbitrarias en WordPress. A continuación, se describirán los detalles de esta vulnerabilidad y las posibles soluciones para subsanarla. La vulnerabilidad se encuentra en…
-
Email Encoder – Protege las direcciones de correo electrónico y números de teléfono <= 2.1.9 – Autenticado (Contributor+) Almacenado Cross-Site Scripting
El plugin Email Encoder – Protege las direcciones de correo electrónico y números de teléfono para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode eeb_mailto del plugin en todas las versiones hasta, e incluyendo, 2.1.9 debido a una sanitización insuficiente de entrada y escape de salida en los atributos proporcionados por el…
-
List category posts <= 0.89.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en páginas web, lo que puede conducir a ataques de Cross-Site Scripting. El plugin List category posts…