Ultimas Noticias
-
ImageRecycle pdf & image compression <= 3.1.13 – Falta de Autorización para Actualizar Configuraciones en stopOptimizeAll
La versión 3.1.13 o anterior del plugin de compresión de imágenes y PDF ImageRecycle para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función stopOptimizeAll. Esto permite a atacantes autenticados, con acceso de nivel suscriptor o superior, modificar las configuraciones de optimización de…
-
WP Recipe Maker <= 9.1.2 – Falta de autorización a Autenticado (Suscriptor+) Inyección SQL
En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin WP Recipe Maker para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de suscriptor o superior realizar una Inyección SQL a través del parámetro ‘recipes’, lo que podría resultar en la extracción de información sensible de la base de datos. El…
-
PPWP – Password Protect Pages <= 1.8.9 – Bypass del Mecanismo de Protección
El complemento PPWP – Password Protect Pages para WordPress es vulnerable a una Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.8.9 a través de la API. Esto permite que atacantes no autenticados obtengan títulos de publicaciones, IDs, slugs, así como otra información, incluyendo publicaciones protegidas por contraseña. El complemento PPWP…
-
Elementor <= 3.19.0 – Eliminación arbitraria de archivos y deserialización PHAR autenticada (Contributor+)
El plugin Elementor Website Builder, más que un simple constructor de páginas para WordPress, es vulnerable a la eliminación arbitraria de archivos y la deserialización PHAR en la versión 3.19.0 y anteriores. Esta vulnerabilidad se debe a la falta de validación suficiente de la ruta en el parámetro ‘tmp_name’. Esto permite a atacantes autenticados con…
-
Matomo <= 4.15.3 – Reflected Cross-Site Scripting a través de idsite
En este artículo se informa sobre una vulnerabilidad de seguridad en el plugin Matomo Analytics – Ethical Stats. Powerful Insights. para WordPress. El plugin es vulnerable a un tipo de ataque conocido como Reflected Cross-Site Scripting, que permite a atacantes inyectar código malicioso en páginas web y ejecutarlo en el navegador de los usuarios. La…
-
Vulnerabilidad de XSS almacenado en WP Shortcodes Plugin – Shortcodes Ultimate <= 7.0.1 – Autenticado (Contributor+) XSS almacenado a través de shortcode
El plugin WP Shortcodes – Shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la versión 7.0.1 debido a una sanitización insuficiente de la entrada y escapado de contenido en las fuentes RSS. Esto permite a atacantes autenticados con permisos…
-
Booking Calendar <= 9.9 – Inyección de SQL sin autenticación
En este reporte de seguridad, se ha descubierto una vulnerabilidad de Inyección de SQL sin autenticación en la versión 9.9 y anteriores del complemento WP Booking Calendar para WordPress. Esta vulnerabilidad permite a atacantes no autenticados agregar consultas de SQL adicionales a las consultas ya existentes, lo que puede comprometer la información confidencial almacenada en…