Ultimas Noticias
-
NotificaciónX – Mejor Plugin de FOMO, Prueba Social, Ventana Emergente de Ventas de WooCommerce y Barra de Notificación Con Elementor <= 2.8.2 – Inyección de SQL sin Autenticación
El plugin de WordPress NotificationX – Mejor Plugin de FOMO, Prueba Social, Ventana Emergente de Ventas de WooCommerce y Barra de Notificación Con Elementor es vulnerable a Inyección de SQL a través del parámetro ‘type’ en todas las versiones hasta, e incluyendo, 2.8.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario…
-
Orbit Fox by ThemeIsle <= 2.10.30 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Pricing Table en el parámetro $settings[‘title_tags’] en todas las versiones hasta, e incluyendo, la 2.10.30 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior,…
-
User Shortcodes Plus <= 2.0.2 – Referencia Directa a Objetos Insegura para Divulgación de Información Sensible de Usuarios Autenticados (Contributor+) a través del shortcode user_meta
El plugin User Shortcodes Plus para WordPress es vulnerable a Referencia Directa a Objetos Insegura en todas las versiones hasta, e incluyendo, la 2.0.2 a través del shortcode user_meta debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso a nivel de contribuidor y superior,…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Event Manager <= 3.1.41
El plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro del plugin en todas las versiones hasta, e incluyendo, la 3.1.41 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados…
-
Duitku Payment Gateway <= 2.11.4 – Falta de Autorización a través de check_duitku_response
El plugin de Duitku Payment Gateway para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función check_duitku_response en todas las versiones hasta, e incluyendo, la 2.11.4. Esto permite que atacantes no autenticados cambien el estado de pago de pedidos a fallidos. La…
-
Edición Masiva de Títulos de Entradas <= 5.0.0 – Falta de Autorización a través de bulkUpdatePostTitles
El plugin Bulk Edit Post Titles para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función bulkUpdatePostTitles en todas las versiones hasta, e incluyendo, la 5.0.0. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, modifiquen los títulos de…
-
Vulnerabilidad CSRF en Gestpay for WooCommerce <= 20221130 a través de ajax_set_default_card
La vulnerabilidad CSRF (Cross-Site Request Forgery) en el plugin Gestpay for WooCommerce para WordPress afecta a todas las versiones hasta, e incluyendo, la 20221130. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en la función ‘ajax_set_default_card’. Esto permite a atacantes no autenticados establecer el token de tarjeta predeterminado para un usuario…