Ultimas Noticias
-
Vulnerabilidad de Inyección SQL Autenticada (Contributor+) en RSS Aggregator by Feedzy <= 4.4.2
En este artículo se describe una vulnerabilidad de inyección SQL autenticada en la versión hasta 4.4.2 del plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con acceso de contribuidor o superior, agregar consultas SQL adicionales a consultas existentes, lo…
-
Awesome Support – WordPress HelpDesk & Support Plugin <= 6.1.7 – Inyección de SQL autenticada (Suscriptor+)
En este reporte de seguridad se ha identificado una vulnerabilidad de Inyección de SQL en el plugin Awesome Support – WordPress HelpDesk & Support Plugin para WordPress, en su versión 6.1.7 y anteriores. Esta vulnerabilidad permite a atacantes autenticados con privilegios de suscriptor o superior, ejecutar consultas SQL maliciosas y extraer información confidencial de la…
-
Insert PHP Code Snippet <= 1.3.4 – Cross-Site Scripting Almacenada Autenticada (Admin+)
El plugin Insert PHP Code Snippet para WordPress es vulnerable a Cross-Site Scripting Almacenada a través del nombre de usuario al acceder a la página de gestión de insert-php-code-snippet en todas las versiones hasta, e incluyendo, la 1.3.4 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de autorización faltante en el plugin de soporte y ayuda de WordPress
El plugin Awesome Support – WordPress HelpDesk & Support es vulnerable a accesos no autorizados debido a una verificación de capacidades faltante en la función wpas_get_users() conectada a través de AJAX en todas las versiones hasta y incluyendo la 6.1.7. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, obtengan información de…
-
Vulnerabilidad de autorización faltante en el complemento Awesome Support – WordPress HelpDesk & Support <= 6.1.7
El complemento Awesome Support – WordPress HelpDesk & Support para WordPress es vulnerable a accesos no autorizados debido a una verificación de capacidad faltante en la función editor_html() en todas las versiones hasta, e incluyendo, la 6.1.7. Esto permite que atacantes autenticados, con un nivel de acceso de suscriptor o superior, vean publicaciones protegidas por…
-
Internal Link Juicer <= 2.23.4 – Autenticación (Admin+) Cross-Site Scripting almacenada
En este artículo se informa sobre una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Internal Link Juicer: SEO Auto Linker for WordPress para WordPress, que afecta a todas las versiones hasta la 2.23.4. Los atacantes autenticados con nivel de administrador pueden aprovechar esta vulnerabilidad para inyectar scripts web maliciosos en las páginas, lo que…
-
Event Manager, Events Calendar, Events Tickets for WooCommerce – Eventin <= 3.3.50 – Falta de autorización para exportar eventos sin autenticación
El plugin Event Manager, Events Calendar, Events Tickets for WooCommerce – Eventin para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidad en la función export_data() en todas las versiones hasta, e incluyendo, la 3.3.50. Esto permite que atacantes sin autenticación exporten datos de eventos. La…