Ultimas Noticias
-
WebSub (FKA. PubSubHubbub) <= 3.1.4 – Stored Cross-Site Scripting Autenticado (Admin+)
En este artículo, hablaremos sobre una vulnerabilidad de tipo Stored Cross-Site Scripting (XSS) en el plugin ‘WebSub (FKA. PubSubHubbub)’ para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de nivel administrador o superior, inyectar scripts web arbitrarios en las páginas del sitio, los cuales se ejecutarán cada vez que un usuario acceda a una…
-
WP Go Maps (anteriormente WP Google Maps) <= 9.0.28 – Cross-Site Scripting Reflejada
El plugin WP Go Maps (anteriormente WP Google Maps) para WordPress es vulnerable a Cross-Site Scripting Reflejada a través del parámetro del id del mapa en todas las versiones hasta, e incluyendo, 9.0.28 debido a una sanitización insuficiente de la entrada y a la falta de escape del resultado. Esto permite que atacantes no autenticados…
-
WP Customer Area <= 8.2.2 – Reflejo de Scripting en Sitio Cruzado
El complemento WP Customer Area para WordPress es vulnerable a Reflejo de Scripting en Sitio Cruzado a través del parámetro ‘tab’ en todas las versiones hasta, e incluyendo, la versión 8.2.1 debido a una insuficiente sanitización de datos de entrada y escape de caracteres especiales. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el plugin WordPress Button MaxButtons <= 9.7.6 – Autenticado (Contribuidor+) a través de un shortcode
En este informe de seguridad, se describe una vulnerabilidad de Cross-Site Scripting almacenada en el plugin de WordPress Button MaxButtons hasta la versión 9.7.6. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de contribuidor o superior, inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a ellas. El plugin…
-
Sticky Buttons <= 3.2.2 – Cross-Site Scripting Almacenada Autenticada (Admin+)
Este artículo informa sobre una vulnerabilidad de Cross-Site Scripting Almacenada (Stored XSS) en el complemento Sticky Buttons – floating buttons builder para WordPress, en todas las versiones hasta la 3.2.2. Dicha vulnerabilidad es aprovechada a través de URLs pegajosas y se debe a una sanitización insuficiente de la entrada y a una falta de escape…
-
Vulnerabilidad de Cross-Site Scripting Reflejado en Accelerated Mobile Pages <= 1.0.92.1
En este artículo se abordará una vulnerabilidad de seguridad encontrada en el plugin de WordPress ‘AMP for WP – Accelerated Mobile Pages’ en su versión 1.0.92.1 y anteriores. Esta vulnerabilidad podría permitir a atacantes remotos ejecutar scripts maliciosos en páginas web, comprometiendo la seguridad de los usuarios. La descripción de la vulnerabilidad identificada como CVE-2024-0587…
-
File Manager <= 7.2.1 – Exposición de Información Sensible a través de Nombres de Archivo de Respaldo
El plugin File Manager para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 7.2.1 debido a una aleatoriedad insuficiente en los nombres de archivo de respaldo, los cuales utilizan una marca de tiempo más 4 dígitos aleatorios. Esto hace posible que atacantes no autenticados extraigan datos…