Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenada en el widget de cronología para Elementor (Elementor Timeline, Vertical & Horizontal Timeline) <= 1.5.3 – Autenticado (Contributor+)
En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Timeline Widget For Elementor (Elementor Timeline, Vertical & Horizontal Timeline) para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar código JavaScript malicioso en las páginas del sitio web. A continuación, se…
-
Quiz Maker <= 6.5.2.4 – Autorización faltante para creación y modificación arbitraria de exámenes
En este reporte de seguridad, se destaca una vulnerabilidad en el plugin Quiz Maker para WordPress. Dicha vulnerabilidad permite la modificación no autorizada de datos debido a la falta de una verificación de capacidades en las funciones ays_quick_start() y add_question_rows() en todas las versiones hasta, e incluyendo, la versión 6.5.2.4. Esto significa que, los atacantes…
-
Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificación de solicitud entre sitios para actualizar las opciones del plugin
En este artículo, analizaremos una vulnerabilidad de Falsificación de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a través de una…
-
All-In-One Security (AIOS) – Security and Firewall <= 5.2.5 – Cross-Site Scripting Reflejado
En este artículo discutiremos una vulnerabilidad de seguridad identificada como CVE-2024-1037 en el plugin All-In-One Security (AIOS) – Security and Firewall para WordPress. Esta vulnerabilidad permite la ejecución de scripts maliciosos, conocida como Cross-Site Scripting Reflejado, a través del parámetro ‘tab’. La versión 5.2.5 y anteriores del plugin All-In-One Security (AIOS) – Security and Firewall…
-
Vulnerabilidad de Cross-Site Scripting almacenada (Authenticated) en PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.14
El plugin PowerPack Addons for Elementor es utilizado comúnmente en sitios web de WordPress para agregar widgets, extensiones y plantillas. Sin embargo, esta popularidad también lo ha convertido en objetivo de ataques, y se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada (Authenticated) en versiones anteriores a 2.7.14. Este tipo de ataque permite a los…
-
WP RSS Aggregator <= 4.23.5 – Petición Falsificada del Lado del Servidor Autenticada (Admin+) a través de Fuente de Feed RSS
El complemento WP RSS Aggregator para WordPress es vulnerable a la Petición Falsificada del Lado del Servidor en todas las versiones hasta, e incluyendo, la 4.23.5 a través de la fuente de feed RSS en la configuración de administración. Esto permite a atacantes autenticados, con acceso de nivel de administrador y superior, hacer solicitudes web…
-
Quiz Maker <= 6.5.2.4 – Falta de autorización para la recuperación de datos no autenticados de cuestionarios
El complemento Quiz Maker para WordPress es vulnerable a ataques de acceso no autorizado debido a la falta de una verificación de capacidad en la función ays_show_results() en todas las versiones hasta, e incluyendo, la versión 6.5.2.4. Esto permite a atacantes no autenticados obtener resultados de cuestionarios arbitrarios que pueden contener información personal identificable (PII).…