Ultimas Noticias
-
Ultimate Bootstrap Elements for Elementor <= 1.3.6 – XSS Almacenado Autenticado (Contribuidor+) a través del Widget de Imagen
El plugin Ultimate Bootstrap Elements for Elementor para WordPress es vulnerable a XSS almacenado a través del Widget de Imagen en todas las versiones hasta, e incluyendo, la 1.3.6 debido a una sanitización insuficiente de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor…
-
Page Builder Sandwich – Plugin Vulnerable a Exposición de Información Sensible
El plugin Page Builder Sandwich – Front End WordPress Page Builder Plugin para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 5.1.0. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, extraigan datos sensibles de usuarios o configuraciones. La falta de autorización en el…
-
Modo de Mantenimiento <= 2.5.0 – Exposición de Información
El plugin Modo de Mantenimiento para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.5.0 a través de la API REST. Esto permite a atacantes no autenticados obtener contenido de publicaciones y páginas a través de la API, eludiendo así la protección de contenido proporcionada por…
-
SportsPress – Sports Club & League Manager <= 2.7.17 – Falta de Autorización para Actualizar el Enlace Permanente del Evento sin Autenticación
El plugin SportsPress – Sports Club & League Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función settings_save() en todas las versiones hasta, e incluyendo, la 2.7.17. Esto hace posible que atacantes no autenticados actualicen la estructura de enlaces permanentes para…
-
FeedWordPress <= 2022.0222 – Referencia de Objeto Directo Insegura
El plugin FeedWordPress para WordPress es vulnerable a Referencia de Objeto Directo Insegura en todas las versiones hasta, e incluyendo, 2022.0222 debido a la falta de validación en la clave ‘guid’ controlada por el usuario. Esto permite que atacantes no autenticados vean publicaciones en borrador que pueden contener información sensible. Los usuarios afectados por esta…
-
Vulnerabilidad en Page Builder Sandwich <= 5.1.0 – Autorización faltante para la edición arbitraria de entradas por usuarios autenticados (Suscriptores+)
La vulnerabilidad en Page Builder Sandwich permite a usuarios autenticados, con nivel de suscriptor o superior, editar arbitrariamente el contenido de las entradas en WordPress. El plugin Page Builder Sandwich – Front End WordPress Page Builder Plugin para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de…
-
Vimeography: Vulnerabilidad de Inyección de Objetos PHP Autenticada (Contribuidor+)
El plugin Vimeography: Vimeo Video Gallery para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 2.3.2, permitiendo a atacantes autenticados con acceso de contribuidor o superior inyectar un Objeto PHP malicioso. La vulnerabilidad radica en la deserialización de datos no seguros a través de la función duplicate_gallery en…