Ultimas Noticias
-
Views for WPForms <= 3.2.2 – Cross-Site Request Forgery a través de create_view
En este artículo se abordará una vulnerabilidad de acceso indebido en el plugin de WordPress ‘Views for WPForms – Display & Edit WPForms Entries on your site frontend’ en todas las versiones hasta la 3.2.2, identificada con el ID CVE-2024-0374. Esta vulnerabilidad permite a atacantes no autenticados crear vistas a través de una solicitud falsificada…
-
Views for WPForms <= 3.2.2 – Autorización faltante a través de save_view
El complemento Views for WPForms – Mostrar y editar la entrada de WPForms en la parte frontal de tu sitio para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función ‘save_view’ en todas las versiones hasta, e incluyendo, la 3.2.2. Esto permite que…
-
Vulnerabilidad en Views for WPForms <= 3.2.2 – Cross-Site Request Forgery a través de save_view
El plugin Views for WPForms – Display & Edit WPForms Entries on your site frontend para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery en todas las versiones hasta la 3.2.2, denominada CVE-2024-0373. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘save_view’. Esto permite que atacantes no autenticados modifiquen…
-
Marketing Twitter Bot <= 1.11 – Cross-Site Request Forgery para Actualización de Configuraciones y Cross-Site Scripting
El plugin Marketing Twitter Bot para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 1.11. Esto se debe a una validación incorrecta o ausente de nonce en una función. Esto permite que atacantes no autenticados actualicen las configuraciones del plugin e inyecten scripts maliciosos a través de una solicitud…
-
Add SVG Support for Media Uploader | inventivo <= 1.0.5 – Cross-Site Scripting almacenada (Autor+) autenticada mediante SVG
El complemento Add SVG Support for Media Uploader | inventivo para WordPress es vulnerable a Cross-Site Scripting almacenada mediante archivos SVG en todas las versiones hasta, e incluyendo, la versión 1.0.5 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite que atacantes autenticados con permisos de autor y superiores inyecten scripts…
-
aBitGone CommentSafe <= 1.0.0 – Cross-Site Request Forgery para Actualizar Configuraciones y Cross-Site Request Forgery
El plugin aBitGone CommentSafe para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.0.0. Esto se debe a la falta de validación de nonce o una validación incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen las configuraciones del plugin e inyecten JavaScript malicioso…
-
Vulnerabilidad de Escritura de Código en Better Follow Button para Jetpack <= 8.0 – Cross-Site Scripting Almacenada Autenticada (Admin+)
El complemento Better Follow Button para Jetpack en WordPress es vulnerable a Cross-Site Scripting Almacenada a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 8.0 debido a una sanitización insuficiente de la entrada y a la falta de escapado de salida. Esto permite a atacantes autenticados, con permisos de…