Ultimas Noticias
-
Vulnerabilidad CSRF en Envo’s Elementor Templates & Widgets for WooCommerce <= 1.4.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Envo’s Elementor Templates & Widgets for WooCommerce para WordPress afecta a las versiones hasta la 1.4.4. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ajax_theme_activation. Esto permite que atacantes no autenticados activen temas instalados de forma arbitraria mediante una…
-
WP eCommerce <= 3.15.1 – Inyección SQL sin autenticación
El plugin WP eCommerce para WordPress es vulnerable a Inyección SQL ciega basada en el tiempo a través del parámetro ‘cart_contents’ en todas las versiones hasta, e incluyendo, la 3.15.1 debido a la escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite…
-
Vulnerabilidad de Inyección SQL en Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce <= 6.9.1 – Autenticado (Suscriptor+) SQL Injection
La vulnerabilidad de inyección SQL en el plugin Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce para WordPress permite a atacantes autenticados con acceso de suscriptor o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. La…
-
Vulnerabilidad en Redirects <= 1.2.1 – Falta de Autorización a través de la función save
El plugin Redirects para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función save en todas las versiones hasta, e incluyendo, la 1.2.1. Esto permite que atacantes no autenticados cambien redirecciones creadas con este plugin. Esto podría resultar en una redirección no…
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Oliver POS – A WooCommerce Point of Sale (POS) <= 2.4.1.8
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Oliver POS – A WooCommerce Point of Sale (POS) para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.4.1.8. Esto se debe a la falta o validación incorrecta del nonce en el archivo includes/class-pos-bridge-install.php. Esto permite a atacantes no autenticados realizar acciones no…
-
Vulnerabilidad de Bypass en Modo de Mantenimiento de Coming Soon Page & Maintenance Mode
El plugin Coming Soon Page & Maintenance Mode para WordPress es vulnerable a accesos no autorizados debido a una comprobación de URL incorrectamente implementada en la función wpsm_coming_soon_redirect en todas las versiones hasta, e incluyendo, la 2.2.1. Esto permite a atacantes no autenticados ver un sitio con el modo de mantenimiento o modo de próximamente…
-
Modo de Construcción/Mantenimiento de Acurax <= 2.6 – Exposición de Información
El plugin Modo de Construcción/Mantenimiento de Acurax para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6 a través de la API REST. Esto permite que atacantes no autenticados puedan obtener el contenido de entradas y páginas cuando el modo de mantenimiento está activo, eludiendo así…