Ultimas Noticias
-
File Manager Pro – Filester <= 1.8.2 – Actualización de Ajustes de Plugin Autenticada
La vulnerabilidad CVE-2024-7031 en el plugin File Manager Pro – Filester para WordPress se debe a una falta de autorización en la función ‘njt_fs_saveSettingRestrictions’ en todas las versiones hasta, e incluyendo, la 1.8.2. Esto permite a atacantes autenticados, con un rol que haya sido otorgado permisos por un Administrador, actualizar los ajustes del plugin para…
-
Zephyr Project Manager <= 3.3.100 – Cross-Site Scripting almacenado (Subscriber+) autenticado a través del parámetro de nombre de archivo
El plugin Zephyr Project Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘filename’ en todas las versiones hasta, e incluyendo, la 3.3.100 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel de Suscriptor y superior, inyectar scripts web arbitrarios…
-
JetFormBuilder <= 3.3.4.1 – Escalada de privilegios autenticada (Administrador+)
En este post se abordará una vulnerabilidad de escalada de privilegios autenticada en JetFormBuilder, que podría ser aprovechada por un atacante con permisos de administrador o superiores para obtener más privilegios en un sitio WordPress. La vulnerabilidad CVE-2024-7291 en JetFormBuilder hasta la versión 3.3.4.1 permite a un usuario autenticado con rol de administrador o superior…
-
JetFormBuilder <= 3.3.4.1 – Escalada de Privilegios Autenticada (Administrador+)
La vulnerabilidad CVE-2024-7291, también conocida como ‘Gestión de Privilegios Incorrecta’, afecta al plugin JetFormBuilder para WordPress en todas las versiones hasta, e incluyendo, la 3.3.4.1. Esta vulnerabilidad se debe a una restricción inadecuada en los campos meta de usuario, lo que permite a atacantes autenticados, con permisos de nivel administrador y superiores, registrarse como super-administradores…
-
JetFormBuilder <= 3.3.4.1 – Escalada de privilegios autenticada (Administrador+)
La vulnerabilidad CVE-2024-7291 en JetFormBuilder permite a atacantes autenticados con permisos de administrador o superiores registrarse como superadministradores en sitios configurados como multi-sitios. El plugin JetFormBuilder para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta, e incluyendo, la 3.3.4.1. Esto se debe a una restricción inadecuada en los campos de…
-
JetFormBuilder <= 3.3.4.1 – Escalada de Privilegios Autenticada (Administrador+)
La vulnerabilidad CVE-2024-7291 en el plugin JetFormBuilder para WordPress permite la escalada de privilegios en todas las versiones hasta, e incluyendo, la 3.3.4.1. Esto se debe a una restricción inadecuada en los campos meta de usuario. Esto permite que atacantes autenticados, con permisos de administrador y superiores, se registren como superadministradores en los sitios configurados…
-
Comments – wpDiscuz <= 7.6.21 – Inyección de HTML no autenticada
El plugin Comments – wpDiscuz para WordPress es vulnerable a la Inyección de HTML en todas las versiones hasta, e incluyendo, la 7.6.21. Esto se debe a la falta de filtrado de etiquetas HTML en los comentarios. Esto hace posible que atacantes no autenticados añadan HTML como hipervínculos a los comentarios cuando la edición enriquecida…