SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

    Ultimas Noticias

    • Vulnerabilidad de Reflected Cross-Site Scripting en Primer MyData for Woocommerce <= 4.2.1

      La vulnerabilidad CVE-2024-11809 afecta al plugin Primer MyData for Woocommerce para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting a través del parámetro ‘img_src’ en las versiones hasta la 4.2.1. El problema radica en la falta de saneamiento de la entrada y escape de salida, lo que posibilita a los atacantes…

      Leer Mas

    • Vulnerabilidad de XSS almacenado en el plugin SVG Shortcode <= 1.0.1

      El plugin SVG Shortcode para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada…

      Leer Mas

    • Hello in All Languages <= 1.0.6 – CSRF a XSS Almacenado

      El plugin Hello In All Languages para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.6. Esto se debe a una validación de nonce faltante o incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una…

      Leer Mas

    • Inyección de SQL Autenticada (Admin+) en Responsive Filterable Portfolio <=1.0.8

      El plugin Responsive Filterable Portfolio para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 1.0.8 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados…

      Leer Mas

    • AR for WordPress <= 7.3 – Falta de Autorización para Carga de Archivos Limitada no Autenticada

      El plugin AR for WordPress para WordPress es vulnerable a la carga de archivos con doble extensión no autorizada debido a la falta de verificación de capacidades en la función set_ar_featured_image() en todas las versiones hasta, e incluyendo, la 7.3. Esto permite que atacantes no autenticados carguen archivos php aprovechando un ataque de doble extensión.…

      Leer Mas

    • Print Science Designer <= 1.3.152 – Inyección de Objetos PHP no autenticada

      La vulnerabilidad de inyección de objetos PHP en el complemento Print Science Designer para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.3.152 a través de la deserialización de entradas no confiables a través de la cookie ‘designer-saved-projects’. Esto permite a atacantes no autenticados inyectar un objeto PHP. No se conoce ninguna cadena…

      Leer Mas

    • Country Blocker <= 3.2 – Cross-Site Scripting Reflejado

      La vulnerabilidad CVE-2024-11459 afecta al plugin Country Blocker para WordPress hasta la versión 3.2, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en las páginas si logran engañar a un usuario para realizar alguna acción como hacer clic en un enlace. Esta vulnerabilidad se debe a una insuficiente sanitización de entradas y escape de…

      Leer Mas

    Ultimas Vulnerabilidades

    Ordenados por CVE

    CVE-2023-6223 CVE-2023-6498 CVE-2023-6506 CVE-2023-6520 CVE-2023-6524 CVE-2023-6567 CVE-2023-6600 CVE-2023-6629 CVE-2023-6699 CVE-2023-6733 CVE-2023-6738 CVE-2023-6747 CVE-2023-6776 CVE-2023-6828 CVE-2023-6883 CVE-2023-6980 CVE-2023-6981 CVE-2023-6984 CVE-2023-7027 CVE-2023-7068 CVE-2023-51410 CVE-2023-51418 CVE-2023-51678 CVE-2023-52177 CVE-2024-0201 CVE-2024-0616 CVE-2024-5226 CVE-2024-5260 CVE-2024-5545 CVE-2024-5668 CVE-2024-6568 CVE-2024-6709 CVE-2024-6770 CVE-2024-6824 CVE-2024-6870 CVE-2024-7032 CVE-2024-7150 CVE-2024-7257 CVE-2024-7291 CVE-2024-7390 CVE-2024-7548 CVE-2024-7651 CVE-2024-7848 CVE-2024-7854 CVE-2024-43343