Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenada en SiteOrigin Widgets Bundle <= 1.58.1
La versión 1.58.1 y anteriores del plugin SiteOrigin Widgets Bundle para WordPress presentan una vulnerabilidad de Cross-Site Scripting almacenada, que permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario accede a la página infectada. La vulnerabilidad se produce debido a una sanitización…
-
MapPress <= 2.88.16 – XSS almacenado a través de ajustes del mapa
El complemento MapPress Maps for WordPress para WordPress es vulnerable a XSS almacenado a través de los parámetros de ancho y alto en todas las versiones hasta la 2.88.16 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite que atacantes autenticados, con acceso de colaborador o superior, inyecten secuencias…
-
Instant Images <= 6.1.0 – Actualización arbitraria de opciones autenticadas (Autor+)
El plugin Instant Images – One Click Image Uploads from Unsplash, Openverse, Pixabay and Pexels para WordPress es vulnerable a una actualización no autorizada de opciones debido a una verificación insuficiente que no verifica si la opción actualizada pertenece al plugin en el punto final instant-images/license REST API en todas las versiones hasta, e incluyendo,…
-
Order Delivery Date for WP e-Commerce <= 1.2 – Cross-Site Scripting sin autenticación almacenada
El complemento Order Delivery Date for WP e-Commerce para WordPress es vulnerable a Cross-Site Scripting almacenada a través del parámetro ‘available-days-tf’ en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Vulnerabilidad de Cross-Site Scripting almacenada autenticada (Administrator+) en el plugin SEO de Squirrly SEO <= 12.3.15 a través de la configuración del plugin
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de SEO de Squirrly SEO para WordPress que permite a los atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en las páginas del sitio. Esto puede conducir a ataques de Cross-Site Scripting almacenada, lo que pone en riesgo…
-
WP Dashboard Notes <= 1.0.10 – Falta de Autorización para la Actualización Arbitraria de Notas Privadas
La vulnerabilidad de la falta de autorización en el plugin WP Dashboard Notes para WordPress permite a atacantes autenticados y con nivel de acceso de contribuidor o superior, modificar notas privadas creadas por otros usuarios. El plugin WP Dashboard Notes para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta…
-
Vulnerabilidad de Cross-Site Scripting almacenada a través de Allow SVG <= 1.1 – Authenticated (Author+)
En este informe de seguridad, analizaremos una vulnerabilidad crítica en el complemento Allow SVG para WordPress. Esta vulnerabilidad, identificada como CVE-2023-6541, permite a atacantes autenticados inyectar scripts maliciosos en páginas web, lo que puede llevar a ataques de tipo Cross-Site Scripting (XSS). La descripción corta de esta vulnerabilidad nos indica que el problema radica en…