Ultimas Noticias
-
Vulnerabilidad en Customer Reviews for WooCommerce <= 5.38.12 – Autorización inapropiada mediante submit_review
En este artículo trataremos sobre una vulnerabilidad en el plugin Customer Reviews for WooCommerce para WordPress, concretamente en su versión 5.38.12 y anteriores. Esta vulnerabilidad permite a atacantes no autenticados modificar datos de forma no autorizada mediante la función ‘submit_review’, lo que les permite enviar críticas con direcciones de correo electrónico arbitrarias, incluso si las…
-
AMP for WP <= 1.0.93.1 – Eliminación arbitraria de publicaciones autenticadas (Contributor+) a través de amppb_remove_saved_layout_data
El plugin AMP for WP – Accelerated Mobile Pages para WordPress presenta una vulnerabilidad que permite la pérdida no autorizada de datos debido a una falta de verificación de capacidad en la función ‘amppb_remove_saved_layout_data’ en todas las versiones hasta, e incluyendo, 1.0.93.1. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, eliminar publicaciones…
-
Vulnerabilidad de EventPrime <= 3.3.9 – Validación inadecuada de entradas al guardar reserva de evento
El plugin de EventPrime para WordPress es vulnerable a la modificación no autorizada de datos debido a una validación inadecuada de entradas en la función ‘save_event_booking’ en las versiones hasta, e incluyendo, la 3.3.9. Esto permite a atacantes no autenticados modificar el precio y otros atributos de las entradas compradas. La vulnerabilidad de validación inadecuada…
-
Starbox <= 3.4.8 – Cross-Site Scripting Persistente Autenticado (Suscriptor+) a través de la Configuración de Empleo
La vulnerabilidad de Cross-Site Scripting Persistente Autenticado en la versión Starbox <= 3.4.8 permite a atacantes autenticados, con nivel de acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página infectada. La vulnerabilidad de Cross-Site Scripting Persistente Autenticado en el plugin Starbox para WordPress…
-
Vulnerabilidad de Cross-Site Request Forgery to Stored Cross-Site Scripting en 3D Tag Cloud <= 3.8
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento 3D Tag Cloud para WordPress permite a atacantes no autenticados inyectar JavaScript malicioso a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. El complemento 3D Tag Cloud para…
-
Shariff Wrapper <= 4.6.9 – Cross-Site Scripting Almacenado Autenticado (Admin+)
El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la versión 4.6.9 debido a una sanitización insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador…
-
Bypass de modo de mantenimiento no autenticado en Minimal Coming Soon – Coming Soon Page <= 2.37
El plugin Minimal Coming Soon – Coming Soon Page para WordPress es vulnerable a un bypass de modo de mantenimiento y divulgación de información en todas las versiones hasta la 2.37. Esto se debe a que el plugin no valida correctamente la ruta de la solicitud. Esto permite que atacantes no autenticados eviten el modo…