Ultimas Noticias
-
Content Cards <= 0.9.7: Vulnerabilidad de Cross-Site Scripting almacenada mediante shortcode
La versión 0.9.7 o inferior del plugin Content Cards para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenada a través de los shortcode(s) del plugin. Esto se debe a una sanitización insuficiente de la entrada y una falta de escape en las atributos proporcionados por los usuarios. Como resultado, usuarios autenticados con permisos de nivel…
-
VK Poster Group <= 2.0.3 – Vulnerabilidad de Cross-Site Scripting Reflejado a través de vkp_repost
El complemento VK Poster Group para WordPress es vulnerable a un ataque de Cross-Site Scripting Reflejado a través del parámetro ‘vkp_repost’ en las versiones hasta y incluyendo la 2.0.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados insertar scripts web arbitrarios en páginas que se ejecutan…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el plugin Buttons Shortcode and Widget <= 1.16
En este informe de seguridad se ha identificado una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Buttons Shortcode and Widget para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos en las páginas, los cuales se ejecutarán cuando un usuario acceda a dicha página. El plugin…
-
Directorist <= 7.8.4 – Falta de Autorización para Cambios en la Configuración sin Autenticación
El plugin Directorist – WordPress Business Directory Plugin with Classified Ads Listings para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función ‘setup_wizard’ en todas las versiones hasta, e incluyendo, la 7.8.4. Esto permite a atacantes no autenticados recrear páginas por defecto y…
-
SKT Page Builder <= 4.1 – Inyección de Contenido No Autorizado en Contenido Autenticado (Suscriptor+)
El complemento SKT Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘saveSktbuilderPageData’ en todas las versiones hasta, e incluyendo, la 4.1. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar contenido arbitrario en las páginas.…
-
Sunshine Photo Cart: Galerías gratuitas para fotógrafos <= 3.0.24 – Exposición de información sensible no autenticada a través de facturas
El complemento Sunshine Photo Cart: Galerías gratuitas para fotógrafos para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 3.0.24 a través de la función ‘invoice’. Esto hace posible que atacantes no autenticados extraigan datos sensibles, incluyendo direcciones de correo electrónico y físicas de los clientes. La…
-
SiteOrigin Widgets Bundle <= 1.58.3 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo, abordaremos una grave vulnerabilidad de seguridad en el plugin SiteOrigin Widgets Bundle para WordPress, que permite la ejecución de scripts maliciosos en páginas web. Los atacantes autenticados con acceso de colaborador o superior pueden aprovechar esta vulnerabilidad para inyectar scripts que se ejecutarán cuando un usuario acceda a una página comprometida. La…