Ultimas Noticias
-
Colibri Page Builder <= 1.0.253 – Cross-Site Request Fogery vía extend_builder
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin Colibri Page Builder para WordPress en todas las versiones hasta, e incluyendo, la 1.0.253. Esto se debe a la validación incorrecta o ausente de nonce en la función apiCall(). Esto permite que atacantes no autenticados llamen a un conjunto limitado de funciones que pueden ser utilizadas…
-
Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz <= 3.6.4 – Autorización faltante
El complemento Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz para WordPress es vulnerable a accesos no autorizados debido a la falta de verificación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 3.6.4. Esto permite a atacantes autenticados, con acceso de suscriptor…
-
Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio <= 3.6.4 – Inyección de Objetos PHP Autenticada (Contributor+)
El plugin Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.6.4 a través de la deserialización de datos no confiables del campo play_podcast_data en los metadatos del post. Esto permite a atacantes…
-
Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz <= 3.6.4 – Falsificación de solicitud entre sitios
El complemento de WordPress Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz es vulnerable a Falsificación de solicitud entre sitios (CSRF) en todas las versiones hasta, e incluyendo, la 3.6.4. Esto se debe a la falta o validación incorrecta de nonce en varias funciones. Esto hace posible…
-
Page Builder: Pagelayer – Vulnerabilidad de Cross-Site Scripting almacenado a través del widget Button
La vulnerabilidad CVE-2024-1590 afecta al plugin Page Builder: Pagelayer – Drag and Drop website builder para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Pagelayer se debe a una sanitización insuficiente de la entrada y al escape…
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Inyección SQL autenticada (Admin+)
El plugin de WordPress Contact Form 7 para el almacenamiento de datos del lado del administrador es vulnerable a Inyección SQL a través del parámetro ‘form-id’ en todas las versiones hasta, e incluyendo, la 1.1.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la…
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Falsificación de petición entre sitios
El plugin de WordPress Almacenamiento de datos del lado del administrador para Contact Form 7 es vulnerable a Falsificación de petición entre sitios (CSRF) en todas las versiones hasta, e incluyendo, la 1.1.1. Esta vulnerabilidad se debe a la falta o incorrecta validación del nonce en la función de actualización de configuración. Esto permite que…