Ultimas Noticias
-
Hostinger <= 1.9.7 – Falta de autorización para activar el modo de mantenimiento
El plugin Hostinger para WordPress es vulnerable a una actualización no autorizada de la configuración del plugin debido a la falta de comprobación de capacidad en la función publish_website en todas las versiones hasta, e incluyendo, la 1.9.7. Esto permite a atacantes no autenticados habilitar y deshabilitar el modo de mantenimiento. La falta de autorización…
-
Happy Addons for Elementor <= 3.9.1.1 – Cross-Site Scripting Reflejado
En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting Reflejado en el plugin Happy Addons for Elementor para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la versión 3.9.1.1 (versiones anteriores a la 2.9.1.1 en Happy Addons for Elementor Pro) debido a una insuficiente sanitización de entradas y escape de…
-
WP Plugin Lister <= 2.1.0 – Cross-Site Request Forgery y Almacenamiento de Scripts Maliciosos
El plugin WP Plugin Lister para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 2.1.0. Esto se debe a una validación incorrecta o faltante de nonce en una función desconocida. Esto permite que atacantes no autenticados realicen una actualización de configuración e inyecten scripts web arbitrarios, siempre…
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WordPress Users <= 1.4
En este artículo, analizaremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WordPress Users hasta la versión 1.4. Esta vulnerabilidad permite a atacantes no autenticados actualizar la configuración de un sitio web si logran engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace. El plugin…
-
Site Notes <= 2.0.0 – Cross-Site Request Forgery para Eliminar Notas Administrativas
El plugin Site Notes para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.0.0. Esto se debe a la falta de validación de nonce o a una validación incorrecta. Esto permite que atacantes no autenticados eliminen notas administrativas a través de una solicitud falsificada, siempre y cuando…
-
BookingPress <= 1.0.74 – Manipulación de precios de reserva mediante bookingpress_confirm_booking
El complemento BookingPress para WordPress es vulnerable a la manipulación del precio de reserva en todas las versiones hasta y incluyendo la 1.0.74. Esto se debe a la falta de comprobaciones de validación dentro de la función bookingpress_confirm_booking. Esto permite que atacantes no autenticados modifiquen el precio de una cita. La vulnerabilidad en el complemento…
-
TJ Shortcodes 0.1.3 – Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode
En este artículo se aborda la vulnerabilidad de TJ Shortcodes en su versión 0.1.3, la cual permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las…