Ultimas Noticias
-
Burla al Mecanismo de Protección de WP Private Content Plus <= 3.6
Recientemente se ha descubierto una vulnerabilidad en WP Private Content Plus que podría permitir a un atacante evadir el mecanismo de protección implementado en la versión 3.6 y acceder a contenido privado sin autorización. La vulnerabilidad identificada con el ID CVE-2024-0680 se produce debido a una falta de validación adecuada en la implementación del mecanismo…
-
Conversios <= 6.9.1 – Inyección de SQL autenticada (Suscriptor+) a través de ee_syncProductCategory
La vulnerabilidad CVE-2024-0786 permite a atacantes autenticados realizar inyección de SQL en el plugin Conversios – Google Analytics 4 (GA4), Meta Pixel & more Via Google Tag Manager For WooCommerce para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 6.9.1 y puede ser explotada por usuarios con acceso de suscriptor o superior para…
-
Vulnerabilidad en WP eCommerce <= 3.15.1 – Falta de Autorización para la Creación Arbitraria de Publicaciones
El plugin WP eCommerce para WordPress es vulnerable a la creación arbitraria de publicaciones no autorizadas debido a la falta de una comprobación de capacidad en la función check_for_saas_push() en todas las versiones hasta, e incluyendo, la 3.15.1. Esto permite que atacantes no autenticados creen publicaciones arbitrarias con contenido arbitrario. Los usuarios afectados por esta…
-
Vulnerabilidad CSRF en Envo’s Elementor Templates & Widgets for WooCommerce <= 1.4.4
El plugin Envo’s Elementor Templates & Widgets for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta 1.4.4. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ajax_plugin_activation. Esto permite a atacantes no autenticados activar plugins instalados arbitrariamente a través de una solicitud falsificada, siempre y…
-
Vulnerabilidad de Autorización Ausente en Page Duplicator <= 0.1.1
La vulnerabilidad de Page Duplicator plugin para WordPress, CVE-2024-1368, se debe a una falta de verificación de capacidades en la función duplicate_dat_page(), lo cual permite a atacantes no autenticados duplicar entradas y páginas arbitrarias. La versión 0.1.1 del plugin Page Duplicator y versiones anteriores son vulnerables a esta falla de seguridad. Para mitigar el riesgo…
-
CodeMirror Blocks <= 1.2.4 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Contribuidor+)
El plugin CodeMirror Blocks para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del bloque Code Mirror en todas las versiones hasta, e incluyendo, la 1.2.4 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web…
-
Page Restrict <= 2.5.5 – Bypass del Mecanismo de Protección
El plugin Page Restrict para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, la 2.5.5. Esto se debe a que el plugin no restringe adecuadamente el acceso a publicaciones a través de la API REST cuando una página se ha hecho privada. Esto hace posible que atacantes no…