Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WordPress Users <= 1.4
En este artículo, analizaremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WordPress Users hasta la versión 1.4. Esta vulnerabilidad permite a atacantes no autenticados actualizar la configuración de un sitio web si logran engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace. El plugin…
-
Site Notes <= 2.0.0 – Cross-Site Request Forgery para Eliminar Notas Administrativas
El plugin Site Notes para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.0.0. Esto se debe a la falta de validación de nonce o a una validación incorrecta. Esto permite que atacantes no autenticados eliminen notas administrativas a través de una solicitud falsificada, siempre y cuando…
-
BookingPress <= 1.0.74 – Manipulación de precios de reserva mediante bookingpress_confirm_booking
El complemento BookingPress para WordPress es vulnerable a la manipulación del precio de reserva en todas las versiones hasta y incluyendo la 1.0.74. Esto se debe a la falta de comprobaciones de validación dentro de la función bookingpress_confirm_booking. Esto permite que atacantes no autenticados modifiquen el precio de una cita. La vulnerabilidad en el complemento…
-
TJ Shortcodes 0.1.3 – Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode
En este artículo se aborda la vulnerabilidad de TJ Shortcodes en su versión 0.1.3, la cual permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las…
-
Depicter Slider – Slider de Imágenes, Videos y Entradas Responsivo <= 2.0.6 – Cross-Site Request Forgery a través de la función 'save'
En este reporte de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Depicter Slider – Slider de Imágenes, Videos y Entradas Responsivo para WordPress en todas las versiones hasta, e incluyendo, la 2.0.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘save’. Esto…
-
New User Approve <= 2.5.1 – Ataque de Solicitud Falsificada Entre Sitios a través de admin_notices
En este reporte de seguridad, se ha identificado una vulnerabilidad de Solicitud Falsificada Entre Sitios (CSRF) en el plugin New User Approve para WordPress en todas las versiones anteriores a 2.5.2 (exclusivo). Esta vulnerabilidad se debe a la falta de validación o una validación incorrecta de nonce en la función admin_notices. Esto permite a atacantes…
-
My Sticky Bar <= 2.6.6 – Cross-Site Request Forgery para Exposición de Información Sensible
El plugin My Sticky Bar para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.6.6. Esto se debe a la falta de validación de nonce en mystickymenu-contact-leads.php. Esto permite que atacantes no autenticados activen la exportación de un archivo CSV que contiene contactos mediante una solicitud…