Ultimas Noticias
-
SportsPress – Sports Club & League Manager <= 2.7.17 – Falta de Autorización para Actualizar el Enlace Permanente del Evento sin Autenticación
El plugin SportsPress – Sports Club & League Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función settings_save() en todas las versiones hasta, e incluyendo, la 2.7.17. Esto hace posible que atacantes no autenticados actualicen la estructura de enlaces permanentes para…
-
FeedWordPress <= 2022.0222 – Referencia de Objeto Directo Insegura
El plugin FeedWordPress para WordPress es vulnerable a Referencia de Objeto Directo Insegura en todas las versiones hasta, e incluyendo, 2022.0222 debido a la falta de validación en la clave ‘guid’ controlada por el usuario. Esto permite que atacantes no autenticados vean publicaciones en borrador que pueden contener información sensible. Los usuarios afectados por esta…
-
Vulnerabilidad en Page Builder Sandwich <= 5.1.0 – Autorización faltante para la edición arbitraria de entradas por usuarios autenticados (Suscriptores+)
La vulnerabilidad en Page Builder Sandwich permite a usuarios autenticados, con nivel de suscriptor o superior, editar arbitrariamente el contenido de las entradas en WordPress. El plugin Page Builder Sandwich – Front End WordPress Page Builder Plugin para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de…
-
Vimeography: Vulnerabilidad de Inyección de Objetos PHP Autenticada (Contribuidor+)
El plugin Vimeography: Vimeo Video Gallery para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 2.3.2, permitiendo a atacantes autenticados con acceso de contribuidor o superior inyectar un Objeto PHP malicioso. La vulnerabilidad radica en la deserialización de datos no seguros a través de la función duplicate_gallery en…
-
JM Twitter Cards <= 12 – Exposición de información a través de la descripción meta
El plugin JM Twitter Cards para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 12 a través de los datos de descripción meta. Esto hace posible que atacantes no autenticados puedan ver contenido de las publicaciones protegidas por contraseña al ver el origen de la página. El…
-
Vulnerabilidad de Cross-Site Scripting en Ultimate Bootstrap Elements para Elementor <= 1.3.6 – Autenticado (Colaborador+) Almacenado
La vulnerabilidad CVE-2024-1398 permite a atacantes autenticados con permisos de colaborador o superiores inyectar scripts maliciosos en páginas web utilizando el plugin Ultimate Bootstrap Elements for Elementor en versiones hasta 1.3.6. El plugin Ultimate Bootstrap Elements for Elementor para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través de los parámetros ‘heading_title_tag’ y ‘heading_sub_title_tag’…
-
Vulnerabilidad de Cross-Site Scripting en Master Slider – Responsive Touch Slider < 3.9.5
El plugin Master Slider – Responsive Touch Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la funcionalidad de callback de las diapositivas en todas las versiones hasta, e incluyendo, la 3.9.5. Esto permite a atacantes autenticados, con acceso de nivel editor, inyectar scripts web arbitrarios en páginas que se ejecutarán cada…