Ultimas Noticias
-
Brooklyn <= 4.9.7.6 – Inyección de Objetos PHP
El tema Brooklyn para WordPress es vulnerable a una Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 4.9.7.6 a través de la deserialización de datos no confiables de un parámetro desconocido. Esto permite a los atacantes autenticados, con acceso de suscriptor en adelante, inyectar un Objeto PHP. No se encuentra presente…
-
Brooklyn <= 4.9.7.6 – Cross-Site Scripting (XSS) Reflejado
En este reporte de seguridad, analizaremos la vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el tema Brooklyn para WordPress, en versiones hasta la 4.9.7.6. Esta vulnerabilidad se produce debido a una falta de saneamiento de la entrada y de la escape de salida, lo que permite a atacantes no autenticados insertar scripts web arbitrarios en…
-
Todas las páginas 404 redirigen a la página de inicio <= 1.9 – Inyección de script entre sitios almacenada no autenticada
En este informe de seguridad, se ha descubierto una vulnerabilidad en el complemento ‘All 404 Pages Redirect to Homepage’ para WordPress. Esta vulnerabilidad permite la ejecución de código malicioso en páginas específicas, lo cual puede comprometer la seguridad de tu sitio. El complemento ‘All 404 Pages Redirect to Homepage’ para WordPress, en versiones hasta la…
-
WP Contact Form <= 1.6 – Cross-Site Request Forgery via wpcf_adminpage
En este artículo abordaremos la vulnerabilidad de Cross-Site Request Forgery (CSRF) presente en el plugin WP Contact Form para WordPress, en versiones hasta 1.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘wpcf_adminpage’. Esto permite que atacantes no autenticados modifiquen la configuración del plugin a través de una petición…
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Basic Log Viewer <= 1.0.4
En este artículo, discutiremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) que afecta al plugin Basic Log Viewer para WordPress. Esta vulnerabilidad puede ser explotada por atacantes no autenticados para eliminar registros de errores mediante solicitudes falsificadas. A continuación, describiremos en detalle la vulnerabilidad y ofreceremos soluciones para mitigar el riesgo. El plugin Basic Log…
-
Vulnerabilidad de Missing Authorization en el plugin Login Lockdown – Protect Login Form <= 2.08
En este artículo hablaremos sobre una vulnerabilidad de Missing Authorization en el plugin Login Lockdown – Protect Login Form hasta la versión 2.08. Esta vulnerabilidad permite a atacantes autorizados acceder a los datos sin autorización. Continúa leyendo para conocer más detalles sobre esta vulnerabilidad y las posibles soluciones. El plugin Login Lockdown – Protect Login…
-
RSS Aggregator by Feedzy <= 4.4.2 – Falta de autorización para creación y publicación de páginas arbitrarias
El complemento RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en las funciones ‘feedzy_wizard_step_process’ y ‘import_status’ en todas las versiones hasta, e incluyendo, la 4.4.2. Esto permite a los…