Ultimas Noticias
-
Desactivar Json API, Bloqueo de inicio de sesión, XMLRPC, Pingback, Detener el Escaneo Anti Hacker de Enumeración de Usuarios <= 4.51 – Falta de Autorización en Lista Blanca de Direcciones IP no Autenticadas
El complemento Disable Json API, Login Lockdown, XMLRPC, Pingback, Stop User Enumeration Anti Hacker Scan para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función antihacker_add_whitelist() en todas las versiones hasta, e incluyendo, 4.51. Esto hace posible que atacantes no autenticados añadan su…
-
Vulnerabilidad de Acceso en WordPress Access Control <= 4.0.13 – Exposición de Información Sensible a través de la API REST
La vulnerabilidad de Acceso Improper en el plugin WordPress Access Control para WordPress permite la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 4.0.13 a través de la API REST. Esto hace posible que atacantes no autenticados puedan evadir la función ‘Hacer que el Sitio Web sea Solo para Miembros’ del…
-
MainWP Dashboard <= 4.6.0.1 – Vulnerabilidad CSRF a través de posting_bulk
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance en versiones hasta la 4.6.0.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘posting_bulk’. Esto permite a atacantes no autenticados eliminar publicaciones arbitrarias mediante una solicitud falsificada si logran engañar a…
-
WPvivid Backup for MainWP <= 0.9.32 – Cross-Site Scripting Reflejado
El plugin WPvivid Backup for MainWP para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, 0.9.32 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder – WordPress Page Builder <= 2.7.4.2
La vulnerabilidad CVE-2024-1074 afecta al plugin Beaver Builder – WordPress Page Builder en versiones hasta 2.7.4.2, permitiendo a atacantes autenticados realizar Cross-Site Scripting a través del parámetro ‘link_url’ del widget de audio. Se ha identificado que la falta de sanitización de entradas y escape de salidas en el plugin Beaver Builder – WordPress Page Builder…
-
Download Manager <= 3.2.85 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Download Manager Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta la 3.2.85. Esto se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de…
-
Download Manager <= 3.2.84 – Falta de Autorización
El complemento Download Manager para WordPress es vulnerable a la descarga no autorizada de archivos agregados a través del complemento en todas las versiones hasta, e incluyendo, la 3.2.84. Esto permite que atacantes no autenticados descarguen archivos agregados con el complemento (incluso cuando se publican de forma privada). La falta de control de acceso adecuado…