Ultimas Noticias
-
Anonymous Restricted Content <= 1.6.2 – Bypass del Mecanismo de Protección
El plugin Anonymous Restricted Content para WordPress es vulnerable a la divulgación de información en todas sus versiones hasta, e incluyendo, la 1.6.2. Esto se debe a restricciones insuficientes a través de la API REST en las entradas/páginas en las que se aplican las protecciones. Esto permite que atacantes no autenticados accedan a contenido protegido.…
-
Beds24 Online Booking <= 2.0.23 – Cross-Site Scripting Almacenada Autenticada (Administrador+)
En este artículo se informará acerca de una vulnerabilidad de seguridad denominada ‘Beds24 Online Booking <= 2.0.23 – Cross-Site Scripting Almacenada Autenticada (Administrador+)' que afecta al plugin de WordPress llamado Beds24 Online Booking. Esta vulnerabilidad permite a atacantes autenticados, con permisos de administrador o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada…
-
PDF Flipbook, 3D Flipbook – DearFlip <= 2.2.26 – Cross-Site Scripting almacenado autenticado (Contributor+)
En este reporte de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenado en el plugin PDF Flipbook, 3D Flipbook – DearFlip para WordPress, hasta la versión 2.2.26. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuyente o superiores inyectar scripts web en páginas que serán ejecutados cada vez que un usuario acceda…
-
WooCommerce Conversion Tracking <= 2.0.11 – Autorización faltante a través de wcct_install_happy_addons
El complemento WooCommerce Conversion Tracking para WordPress presenta una vulnerabilidad de modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘wcct_install_happy_addons’ en versiones hasta y incluyendo la 2.0.11. Esto permite a atacantes autenticados, con acceso de suscriptor y superior, instalar el complemento Happy Elementor Addons. La vulnerabilidad…
-
Icons Font Loader <= 1.1.4 – Carga de archivos arbitrarios autenticados (Administrador+)
El plugin Icons Font Loader para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘upload’ en versiones hasta, e incluyendo, 1.1.4. Esto permite que atacantes autenticados, con acceso de administrador y superior, carguen archivos arbitrarios en el servidor del sitio afectado,…
-
Vulnerabilidad de autorización faltante en Woostify Sites Library
En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento de WordPress Woostify Sites Library. Esta vulnerabilidad, identificada como CVE-2023-6279, permite a usuarios autenticados actualizar opciones de blogs arbitrarios y establecerlos como ‘activados’, lo que podría llevar a un ataque de denegación de servicio (DoS) cuando se utiliza un nombre de opción…
-
Heateor Social Login <= 1.1.30 – Autenticación(Contributor+) Almacenado Cross-Site Scripting a través de Shortcode
En el presente informe de seguridad, se informa sobre una vulnerabilidad encontrada en el plugin Heateor Social Login para WordPress que permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenados a través de los shortcodes del plugin. Esta vulnerabilidad afecta a las versiones hasta la 1.1.30 del plugin y permite a atacantes autenticados con…