Ultimas Noticias
-
Almacenamiento protegido por contraseña para WooCommerce <= 1.9 – Exposición de información a través de la API REST
El plugin Password Protected Store for WooCommerce para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.9 a través de la API REST. Esto hace posible que atacantes no autenticados extraigan datos sensibles como títulos y contenido de publicaciones. La falta de control de acceso adecuado…
-
Cambiar Límite de Memoria <= 1.0 – Autorización Ausente a través de admin_logic()
La vulnerabilidad CVE-2024-1093 encontrada en el plugin Change Memory Limit para WordPress permite la modificación no autorizada de datos debido a la falta de comprobación de capacidad en la función admin_logic() enganchada a través de admin_init en todas las versiones hasta, e incluyendo, la 1.0. Esto hace posible que atacantes no autenticados actualicen el límite…
-
Ultimate Bootstrap Elements for Elementor <= 1.3.6 – XSS Almacenado Autenticado (Contribuidor+) a través del Widget de Imagen
El plugin Ultimate Bootstrap Elements for Elementor para WordPress es vulnerable a XSS almacenado a través del Widget de Imagen en todas las versiones hasta, e incluyendo, la 1.3.6 debido a una sanitización insuficiente de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor…
-
Page Builder Sandwich – Plugin Vulnerable a Exposición de Información Sensible
El plugin Page Builder Sandwich – Front End WordPress Page Builder Plugin para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 5.1.0. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, extraigan datos sensibles de usuarios o configuraciones. La falta de autorización en el…
-
Modo de Mantenimiento <= 2.5.0 – Exposición de Información
El plugin Modo de Mantenimiento para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.5.0 a través de la API REST. Esto permite a atacantes no autenticados obtener contenido de publicaciones y páginas a través de la API, eludiendo así la protección de contenido proporcionada por…
-
SportsPress – Sports Club & League Manager <= 2.7.17 – Falta de Autorización para Actualizar el Enlace Permanente del Evento sin Autenticación
El plugin SportsPress – Sports Club & League Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función settings_save() en todas las versiones hasta, e incluyendo, la 2.7.17. Esto hace posible que atacantes no autenticados actualicen la estructura de enlaces permanentes para…
-
FeedWordPress <= 2022.0222 – Referencia de Objeto Directo Insegura
El plugin FeedWordPress para WordPress es vulnerable a Referencia de Objeto Directo Insegura en todas las versiones hasta, e incluyendo, 2022.0222 debido a la falta de validación en la clave ‘guid’ controlada por el usuario. Esto permite que atacantes no autenticados vean publicaciones en borrador que pueden contener información sensible. Los usuarios afectados por esta…