Ultimas Noticias
-
VK Block Patterns <= 1.31.1.1 – Cross-Site Request Forgery
El plugin VK Block Patterns para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 1.31.1.1. Esto se debe a la falta de validación de nonce o una validación incorrecta en la función vbp_clear_patterns_cache(). Esto permite a atacantes no autenticados eliminar la caché de patrones a través de…
-
ColorMag <= 3.1.2 – Falta de Autorización para la Instalación Arbitraria de Plugins
La vulnerabilidad ‘Missing Authorization’ en el tema ColorMag para WordPress permite el acceso no autorizado debido a la falta de una verificación de capacidades en la función plugin_action_callback() en todas las versiones hasta, e incluyendo, la 3.1.2. Esto significa que atacantes autenticados, con acceso de nivel suscriptor o superior, pueden instalar y activar plugins arbitrarios.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 – Autenticado(Editor+)
En este informe de seguridad se presenta una vulnerabilidad de Cross-Site Scripting almacenada en el plugin enigma-chartjs para WordPress. Esta vulnerabilidad afecta a las versiones hasta y incluyendo la versión 2023.2. Los atacantes autenticados, con acceso de editor o superior, pueden aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…
-
lasTunes <= 3.6.1 – Cross-Site Request Forgery
Este artículo aborda la vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin lasTunes para WordPress, en todas las versiones hasta la 3.6.1. El plugin lasTunes para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.6.1. Esto se debe a la falta de validación de nonce incorrecto en…
-
Splashscreen <= 0.20 – Cross-Site Request Forgery
En este post discutiremos la vulnerabilidad de Cross-Site Request Forgery (CSRF) en la versión 0.20 y anteriores del plugin Splashscreen para WordPress. El plugin Splashscreen para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 0.20. Esto se debe a la falta de validación de nonce en una función desconocida o incorrecta. Esto…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 a través de gráficos
En este informe de seguridad, se revela una vulnerabilidad crítica en la versión hasta 2023.2 del plugin de WordPress enigma-chartjs. Se trata de una vulnerabilidad de Cross-Site Scripting almacenada que permite a atacantes autenticados, con acceso de editor y superior, inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda…
-
Stripe Payment Plugin for WooCommerce <= 3.7.9 – Inyección de SQL sin autenticación
El plugin Stripe Payment para WooCommerce en WordPress es vulnerable a una inyección de SQL sin autenticación a través del parámetro ‘id’ en todas las versiones hasta la 3.7.9. Esto se debe a una escape insuficiente en el parámetro proporcionado por el usuario y una preparación insuficiente en la consulta SQL existente. Esto permite a…