Ultimas Noticias
-
Illilink Party! <= 1.0 – CSRF para Actualizar Configuraciones
El plugin Illilink Party! para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, incluyendo la 1.0. Esto se debe a la falta de validación de nonce o una validación incorrecta en una función. Esto permite a atacantes sin autenticar actualizar configuraciones mediante una solicitud falsificada, siempre y cuando puedan engañar…
-
Vulnerabilidad de Inyección de Objetos PHP no autenticada en Better Search Replace <= 1.4.4
La vulnerabilidad de Inyección de Objetos PHP en el plugin Better Search Replace para WordPress pone en riesgo la seguridad de todas las versiones hasta la 1.4.4. Esta vulnerabilidad se produce a través de la deserialización de datos no confiables, lo que permite a atacantes no autenticados inyectar un objeto PHP. Aunque no se encuentra…
-
File Manager Pro <= 8.3.4 – Subida arbitraria de archivos autenticada (Suscriptor+)
En este informe de seguridad se revela una vulnerabilidad en la versión 8.3.4 y anteriores del complemento File Manager Pro para WordPress. Esta vulnerabilidad permite a usuarios autenticados con privilegios de suscriptor o superior realizar una subida arbitraria de archivos, lo que podría resultar en la ejecución de código malicioso en el servidor. El complemento…
-
Advanced Database Cleaner <= 3.1.3 – Inyección de Objeto PHP Autenticado(Administrador+) a través de process_bulk_action
En este informe de seguridad te alertamos sobre una vulnerabilidad en el plugin Advanced Database Cleaner para WordPress, que permite una inyección de objeto PHP en la función ‘process_bulk_action’. Esta vulnerabilidad afecta a todas las versiones hasta la 3.1.3 y puede ser explotada por un atacante autenticado con acceso de administrador o superior. Esta inyección…
-
Vulnerabilidad de Cross-Site Scripting almacenada en WPFront Notification Bar <= 3.3.2
El plugin WPFront Notification Bar para WordPress es vulnerable a Cross-Site Scripting almacenada a través del parámetro ‘wpfront-notification-bar-options[custom_class]’ en todas las versiones hasta, e incluyendo, la 3.3.2 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con privilegios de administrador, inyectar scripts web arbitrarios en páginas…
-
Paid Memberships Pro <= 2.12.7 – Cross-Site Request Forgery para Actualización de Pedidos
En este reporte de seguridad, se ha encontrado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 2.12.7. Debido a una validación incorrecta o ausencia de nonce en la función pmpro_update_level_order(), es…
-
Category Discount Woocommerce <= 4.11 – Cross-Site Request Forgery a través de wpcd_save_discount()
En este artículo se reporta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Category Discount Woocommerce para WordPress. La versión afectada es la 4.12 y versiones anteriores. Este problema se debe a la falta de validación de nonce o a una validación incorrecta en la función wpcd_save_discount(). Esta vulnerabilidad permite a atacantes no…