Ultimas Noticias
-
Vulnerabilidad de Escritura de Código en Better Follow Button para Jetpack <= 8.0 – Cross-Site Scripting Almacenada Autenticada (Admin+)
El complemento Better Follow Button para Jetpack en WordPress es vulnerable a Cross-Site Scripting Almacenada a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 8.0 debido a una sanitización insuficiente de la entrada y a la falta de escapado de salida. Esto permite a atacantes autenticados, con permisos de…
-
illi Link Party! <= 1.0 – Falta de Autorización para Eliminación Arbitraria de Enlaces
El plugin illi Link Party! para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en una función en todas las versiones hasta, e incluyendo, la 1.0. Esto permite que atacantes no autenticados eliminen enlaces arbitrarios. El plugin illi Link Party! para WordPress es ampliamente utilizado para gestionar…
-
Ultimate Noindex Nofollow Tool <= 1.1.2 – Cross-Site Request Forgery para Actualizar Configuraciones
El plugin Ultimate Noindex Nofollow Tool para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en las versiones hasta, e incluyendo, la 1.1.2. Esto se debe a la falta de validación de nonce o a una validación incorrecta en una función. Esto permite a atacantes no autenticados actualizar las configuraciones del plugin mediante solicitudes falsificadas,…
-
Advanced Schedule Posts <= 2.1.8 – Reflected Cross-Site Scripting
En este informe de seguridad se revela una vulnerabilidad en el plugin Advanced Schedule Posts para WordPress, la cual permite la ejecución de scripts maliciosos a través de la técnica de Reflección de Cross-Site Scripting. Esta vulnerabilidad, identificada como CVE-2024-0249, se produce debido a una falta de sanitización en la entrada de datos y una…
-
WP-Reply Notify <= 1.1 – Cross-Site Request Forgery para Actualización de Configuración
El plugin WP-Reply Notify para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 1.1. Esto se debe a la falta o validación incorrecta de nonce en una función. Esto permite a atacantes no autenticados actualizar la configuración del plugin a través de una solicitud falsificada, siempre y cuando puedan…
-
illi Link Party! <= 1.0 – Cross-Site Scripting No Autenticada
El plugin illi Link Party! para WordPress es vulnerable a Cross-Site Scripting almacenada a través de un parámetro desconocido en versiones hasta, e incluyendo, 1.0 debido a una higiene insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez…
-
Vulnerabilidad de Almacenamiento Cruzado de Scripts entre sitios (Stored XSS) en SVG Uploads Support <= 2.1.1 – Autenticado (Escritor+)
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin de WordPress llamado SVG Uploads Support. Esta vulnerabilidad, conocida como ‘Cross-Site Scripting’ (Almacenamiento Cruzado de Scripts entre Sitios), afecta a todas las versiones hasta la 2.1.1 del plugin y permite a atacantes autenticados con permisos de nivel ‘escritor’ o superiores, inyectar scripts web…