Ultimas Noticias
-
RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator <= 4.3.2 – Falta de Autorización
El plugin de WordPress RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator es vulnerable a la actualización no autorizada de configuraciones debido a la falta de comprobación de permisos al actualizar las configuraciones en todas las versiones hasta, e incluyendo, la 4.3.2. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Script entre sitios almacenada (Stored XSS) en RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator <= 4.3.2 – Autenticado (Author+)
En este reporte de seguridad, se ha detectado una vulnerabilidad de Script entre sitios almacenada (Stored XSS) en la versión 4.3.2 y anteriores del plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de autor o superiores, inyectar…
-
Oxygen Builder <= 4.8 – Stored Cross-Site Scripting Autenticado (Contributor+) a través de Campo Personalizado
El plugin Oxygen Builder para WordPress es vulnerable a Stored Cross-Site Scripting a través de un campo personalizado en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel contribuyente o superior, inyecten scripts web arbitrarios en…
-
Profile Builder <= 3.10.7 – Desreferencia Insegura de Objetos Directos para la Exposición de Información Sensible a través del shortcode user_meta
La vulnerabilidad CVE-2023-6504 afecta al plugin User Profile Builder – Formularios hermosos de registro de usuarios, perfiles de usuarios y editor de roles de usuario para WordPress. Esta vulnerabilidad permite el acceso no autorizado a datos debido a una falta de verificación de capacidades en la función wppb_toolbox_usermeta_handler en todas las versiones hasta, e incluyendo,…
-
Orbit Fox Companion <= 2.10.26 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de campos personalizados
El complemento Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los campos personalizados del complemento en todas las versiones hasta, e incluyendo, la 2.10.26 debido a una insuficiente validación de entrada y escape de salida en los valores proporcionados por el usuario. Esto permite a los atacantes autenticados…
-
WP Social Bookmark Menu <= 1.2 – Cross-Site Request Forgery para Actualización de Configuración
El plugin WP Social Bookmark Menu para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.2. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce. Esto permite que atacantes no autenticados actualicen la configuración a través de una solicitud falsificada, siempre y cuando puedan…
-
Vulnerabilidad de autorización faltante en LightStart – Maintenance Mode, Coming Soon and Landing Page Builder
El plugin LightStart – Maintenance Mode, Coming Soon and Landing Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función insert_template en todas las versiones hasta, e incluyendo, la 2.6.8. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y…