Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting Almacenada en Complianz | GDPR/CCPA Cookie Consent <= 6.5.5 – Autenticado (Administrador+) a través de la configuración
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin de Complianz – GDPR/CCPA Cookie Consent para WordPress permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. Esto afecta solo a instalaciones de WordPress con múltiples sitios y…
-
PageLayer <= 1.7.8 – Stored Cross-Site Scripting a través de campos meta
En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin Page Builder: Pagelayer – Drag and Drop para WordPress. La versión afectada es la 1.7.8 y permite a atacantes autenticados (con nivel de contribuidor o superior) llevar a cabo ataques de Cross-Site Scripting (XSS) almacenado a través de los campos meta ‘pagelayer_header_code’,…
-
Vulnerabilidad de WP-Members Membership Plugin <= 3.4.8 – Falta de Autorización a Exposición de Información Sensible
El plugin WP-Members Membership Plugin para WordPress es vulnerable a una Exposición de Información Sensible en todas sus versiones hasta la 3.4.8 a través del shortcode wpmem_field. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, extraer datos sensibles como correos electrónicos de usuarios, hashes de contraseñas, nombres de usuario y más. La…
-
ARForms <= 1.5.8 – XSS almacenado no autenticado a través de arf_http_referrer_url
El plugin ARForms Form Builder para WordPress, que se utiliza para crear formularios de contacto, encuestas y popups, es vulnerable a XSS almacenado a través del parámetro ‘arf_http_referrer_url’ en todas las versiones hasta la 1.5.8. Esto se debe a una insuficiente sanitización de entrada y escape de salida. Esto significa que atacantes no autenticados pueden…
-
Vulnerabilidad de Travesía del Directorio en WP Compress – Image Optimizer
En este reporte de seguridad se ha detectado una vulnerabilidad de travesía del directorio en el plugin WP Compress – Image Optimizer para WordPress, que afecta a todas las versiones hasta la 6.10.33. Esta vulnerabilidad permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, lo que puede comprometer información sensible.…
-
Vulnerabilidad de subida de archivos arbitrarios en el plugin WP Mail Log <= 1.1.2 – Autenticado (Contribuidor+) Subida de Archivos Peligrosos
El plugin WP Mail Log para WordPress es vulnerable a subidas de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘send_email’ en todas las versiones hasta la 1.1.2. Esto permite que atacantes autenticados, con acceso de contribuidor o superior, puedan subir archivos arbitrarios en el servidor del sitio…
-
Integrate Google Drive <= 1.3.3 – Autorización faltante a través de save_settings
El plugin Integrate Google Drive para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función save_settings en versiones hasta, e incluyendo, 1.3.3. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, actualizar la configuración del plugin. El plugin Integrate…