Ultimas Noticias
-
Doofinder for WooCommerce <= 2.1.8 – XSS almacenado autenticado (Administrador+) a través de la configuración
El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la versión 2.1.8 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores,…
-
MyWaze <= 1.6 – Cross-Site Scripting almacenado (Contribuidor+) autenticado a través de shortcode
En este artículo se analiza una vulnerabilidad de Cross-Site Scripting almacenado en el plugin MyWaze para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cuando un usuario acceda a dichas páginas. El plugin MyWaze para WordPress, en sus versiones hasta…
-
Premium Addons for Elementor <= 4.10.18: Scripting entre sitios almacenado (Cross-Site Scripting) autenticado (Contributor+)
El complemento Premium Addons for Elementor para WordPress es vulnerable a Scripting entre sitios almacenado (Cross-Site Scripting) a través de la funcionalidad onClick del complemento en todas las versiones hasta la 4.10.18. Esto se debe a una insuficiente sanitización de la entrada y escape de salida en los eventos proporcionados por el usuario. Esto permite…
-
Landing Page Cat – Página de mantenimiento y squeeze pages <= 1.7.2 – Exposición de Información No Autenticada
En este informe de seguridad, se ha descubierto que el plugin Landing Page Cat – Página de mantenimiento y squeeze pages para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta la 1.7.2. Esto permite que atacantes no autenticados accedan a páginas de aterrizaje que pueden no ser públicas. La…
-
Broken Link Checker <= 2.2.3 – Cross-Site Scripting almacenada autenticada (Administrador+) a través de la configuración
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin Broken Link Checker para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores iniciar un ataque de Cross-Site Scripting almacenada a través de la configuración del administrador. El plugin Broken Link Checker para WordPress es vulnerable a un…
-
Maspik – Bloqueo de Spam <= 0.10.6 – Autenticado (Administrador+) Cross-Site Scripting almacenado a través de la configuración
El plugin Maspik – Bloqueo de Spam para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administración en todas las versiones hasta, e incluyendo, 0.10.6 debido a una sanitización insuficiente de la entrada y una escapada incorrecta de la salida. Esto permite que atacantes autenticados, con permisos de nivel de…
-
TinyMCE Professional Formats and Styles <= 1.1.2 – Cross-Site Request Forgery (CSRF) a través de bb_taps_backend_page
El complemento TinyMCE Professional Formats and Styles para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, 1.1.2. Esto se debe a la falta o incorrecta validación de nonce en la función ‘bb_taps_backend_page’. Esto permite que atacantes no autenticados modifiquen la configuración del complemento mediante una solicitud falsificada, siempre y cuando…