Ultimas Noticias
-
ProfilePress <= 4.15.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Shortcode
El plugin Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcode(s) del plugin en todas las versiones hasta, e incluyendo, la 4.15.2 debido a una sanitización insuficiente de la entrada y escapado de la salida…
-
LadiApp <= 4.4 – Falta de Autorización a través de save_config()
El plugin LadiApp para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función save_config() en las versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes autenticados con acceso de nivel suscriptor y superior actualicen la opción ‘ladipage_config’. Para subsanar este problema,…
-
Vulnerabilidad de Cross-Site Request Forgery en LadiApp Plugin para WordPress
El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de verificación de nonce en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes no autenticados cambien la clave de LadiPage (una clave completamente controlada por el atacante),…
-
Vulnerabilidad CSRF en LadiApp <= 4.4 a través de save_config()
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin LadiApp para WordPress debido a la falta de verificación de nonce en la función save_config() en versiones hasta, e incluyendo, la 4.3. Esto permite a atacantes no autenticados actualizar la opción ‘ladipage_config’ mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio…
-
LadiApp <= 4.4 – Cross-Site Request Forgery a través de ladiflow_save_hook()
El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de una comprobación de nonce en la función ladiflow_save_hook() en versiones hasta, e incluyendo, la 4.4. Esto hace posible que atacantes no autenticados actualicen la opción ‘ladiflow_hook_configs’ a través de una solicitud falsificada, siempre y cuando puedan engañar a un…
-
LadiApp: Vulnerabilidad de Cross-Site Request Forgery en versiones <= 4.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin LadiApp para WordPress permite a atacantes no autenticados modificar ajustes y crear nuevas publicaciones en un sitio web si logran engañar a un administrador para realizar una acción como hacer clic en un enlace. El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery…
-
LadiApp <= 4.4 – Autorización Faltante a través de ladiflow_save_hook()
El plugin LadiApp para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función ladiflow_save_hook() en versiones hasta, e incluyendo, la 4.3. Esto permite que atacantes autenticados con acceso de suscriptor y superior actualicen la opción ‘ladiflow_hook_configs’. Para subsanar este problema, se recomienda…