Ultimas Noticias
-
Pagelayer <= 1.7.9 – Cross-Site Scripting almacenada autenticada (Administrador+) a través del código Header/Footer
En este reporte de seguridad, se ha identificado una vulnerabilidad en el plugin de WordPress Page Builder: Pagelayer. Esta vulnerabilidad permite la ejecución de scripts maliciosos en páginas específicas a través del código Header/Footer. Es importante destacar que esto solo afecta a instalaciones de WordPress que tienen habilitada la opción de múltiples sitios o donde…
-
Easy Digital Downloads <= 3.2.6 – Cross-Site Scripting almacenada a través de opciones de precios variables
En este artículo, se discutirá una vulnerabilidad de seguridad en el plugin Easy Digital Downloads para WordPress. Se ha descubierto que la versión 3.2.6 y anteriores son susceptibles a un ataque de scripting de sitios cruzados almacenados, que permite a los atacantes inyectar scripts maliciosos en páginas específicas del sitio. La vulnerabilidad se origina en…
-
The Plus Addons for Elementor <= 5.3.3 – Cross-Site Scripting almacenado (Contributor+) Autenticado
El complemento The Plus Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, la versión 5.3.3 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en…
-
Popup More <= 2.2.4 – Ruta de directorio truncada autenticada (Admin+) a Inclusión de archivos locales limitada
El complemento Popup More Popups, Lightboxes y más ventanas emergentes para WordPress es vulnerable a la Inclusión de archivos locales en la versión 2.1.6 a través de la función ycfChangeElementData(). Esto permite que atacantes autenticados, con acceso de nivel de administrador y superior, incluyan y ejecuten archivos arbitrarios que terminan con ‘Form.php’ en el servidor,…
-
UserPro <= 5.1.6 – Bypass de registro de membresía deshabilitada
El plugin UserPro para WordPress es vulnerable a un Bypass de Característica de Seguridad en todas las versiones hasta, e incluyendo, la 5.1.6. Esto se debe al uso de restricciones en el lado del cliente para hacer cumplir la característica de ‘Registro deshabilitado’ de membresía dentro de la configuración general del plugin. Esto permite a…
-
Calculated Fields Form <= 1.2.52 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Calculated Fields Form para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode CP_CALCULATED_FIELDS del plugin en todas las versiones hasta, e incluyendo, la 1.2.52 debido a una insuficiente sanitización de la entrada y escape de salida en el atributo ‘location’ proporcionado por el usuario. Esto permite a atacantes autenticados con…
-
ARMember <= 4.0.24 – Control de acceso inadecuado que expone información sensible a través de la API REST
El plugin ARMember para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 1.0.21 a través de la API REST. Esto permite que atacantes no autenticados eviten la característica de ‘Restricción por defecto’ del plugin y vean contenido restringido de publicaciones. La vulnerabilidad de control de acceso inadecuado…