Ultimas Noticias
-
Maspik – Bloqueo de Spam <= 0.10.6 – Autenticado (Administrador+) Cross-Site Scripting almacenado a través de la configuración
El plugin Maspik – Bloqueo de Spam para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administración en todas las versiones hasta, e incluyendo, 0.10.6 debido a una sanitización insuficiente de la entrada y una escapada incorrecta de la salida. Esto permite que atacantes autenticados, con permisos de nivel de…
-
TinyMCE Professional Formats and Styles <= 1.1.2 – Cross-Site Request Forgery (CSRF) a través de bb_taps_backend_page
El complemento TinyMCE Professional Formats and Styles para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, 1.1.2. Esto se debe a la falta o incorrecta validación de nonce en la función ‘bb_taps_backend_page’. Esto permite que atacantes no autenticados modifiquen la configuración del complemento mediante una solicitud falsificada, siempre y cuando…
-
Multi Step Form <= 1.7.17 – Cross-Site Request Forgery
Descripción corta: Cross-Site Request Forgery (CSRF). La vulnerabilidad de Cross-Site Request Forgery (CSRF) afecta al plugin Multi Step Form para WordPress en todas las versiones anteriores o igual a 1.7.17. La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Multi Step Form para WordPress pone en riesgo la seguridad de los sitios web que…
-
Livemesh Addons para Elementor <= 8.3 – Scripting en Sitio Cruzado Almacenado Autenticado (Contributor+) a través de animated_text_class
El complemento Livemesh Addons para Elementor en WordPress presenta una vulnerabilidad de Scripting en Sitio Cruzado Almacenado a través del atributo ‘animated_text_class’ en las versiones hasta, e incluyendo, la versión 8.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar…
-
Comments Like Dislike <= 1.2.1 – IP Spoofing
El complemento Comments Like Dislike para WordPress es vulnerable a Suplantación de IP en todas las versiones hasta, e incluyendo, 1.2.1, debido al uso de encabezados HTTP proporcionados por el usuario como método principal para la obtención de la IP. Esto permite a atacantes autenticados con privilegios de suscriptor y superiores evadir restricciones de IP.…
-
MoveTo <= 6.2 – Subida de Archivos Arbitraria no Autenticada
El plugin ‘moveto’ para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipo de archivo en una función desconocida en todas las versiones hasta, e incluyendo, la 6.2. Esto permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir…
-
MoveTo <= 6.2 – Inyección SQL no autenticada
En este informe de seguridad, abordaremos la vulnerabilidad de inyección SQL no autenticada en la extensión MoveTo (versión 6.2 y anteriores) para WordPress. Esta vulnerabilidad permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes, lo que puede comprometer información sensible en la base de datos. La extensión MoveTo para WordPress es…