Ultimas Noticias
-
LearnPress <= 4.2.5.7 – Inyección de Comandos
En este artículo se abordará una vulnerabilidad de seguridad en el plugin LearnPress para WordPress, específicamente en las versiones hasta la 4.2.5.7. Se trata de una vulnerabilidad de inyección de comandos que afecta a la función get_content y permite a atacantes no autenticados ejecutar cualquier función pública con un parámetro, lo que podría resultar en…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el plugin weForms para WordPress
En este informe de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting almacenada en el plugin weForms – Easy Drag & Drop Contact Form Builder For WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de administrador o superiores, inyectar scripts web maliciosos en páginas que serán ejecutados cuando un usuario acceda a dicha…
-
Vulnerabilidad de Cross-Site Scripting Almacenada en Complianz | GDPR/CCPA Cookie Consent <= 6.5.5 – Autenticado (Administrador+) a través de la configuración
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin de Complianz – GDPR/CCPA Cookie Consent para WordPress permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. Esto afecta solo a instalaciones de WordPress con múltiples sitios y…
-
PageLayer <= 1.7.8 – Stored Cross-Site Scripting a través de campos meta
En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin Page Builder: Pagelayer – Drag and Drop para WordPress. La versión afectada es la 1.7.8 y permite a atacantes autenticados (con nivel de contribuidor o superior) llevar a cabo ataques de Cross-Site Scripting (XSS) almacenado a través de los campos meta ‘pagelayer_header_code’,…
-
Vulnerabilidad de WP-Members Membership Plugin <= 3.4.8 – Falta de Autorización a Exposición de Información Sensible
El plugin WP-Members Membership Plugin para WordPress es vulnerable a una Exposición de Información Sensible en todas sus versiones hasta la 3.4.8 a través del shortcode wpmem_field. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, extraer datos sensibles como correos electrónicos de usuarios, hashes de contraseñas, nombres de usuario y más. La…
-
ARForms <= 1.5.8 – XSS almacenado no autenticado a través de arf_http_referrer_url
El plugin ARForms Form Builder para WordPress, que se utiliza para crear formularios de contacto, encuestas y popups, es vulnerable a XSS almacenado a través del parámetro ‘arf_http_referrer_url’ en todas las versiones hasta la 1.5.8. Esto se debe a una insuficiente sanitización de entrada y escape de salida. Esto significa que atacantes no autenticados pueden…
-
Vulnerabilidad de Travesía del Directorio en WP Compress – Image Optimizer
En este reporte de seguridad se ha detectado una vulnerabilidad de travesía del directorio en el plugin WP Compress – Image Optimizer para WordPress, que afecta a todas las versiones hasta la 6.10.33. Esta vulnerabilidad permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, lo que puede comprometer información sensible.…