Ultimas Noticias
-
PDF Generator For Fluent Forms <= 1.1.7 – Cross-Site Scripting
En este artículo se aborda una vulnerabilidad de tipo Cross-Site Scripting en el plugin PDF Generator for Fluent Forms, utilizado para crear formularios de contacto en WordPress. El plugin PDF Generator For Fluent Forms – The Contact Form Plugin, en sus versiones hasta la 1.1.7, presenta una vulnerabilidad de tipo Stored Cross-Site Scripting. Esta vulnerabilidad…
-
FileBird <= 5.6.0 – Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a través de la importación de carpetas
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de WordPress llamado FileBird. La versión afectada es la 5.6.0 y anteriores. El problema reside en la forma en que se manejan los títulos de las carpetas importadas, lo que permite a usuarios autenticados con privilegios de administrador almacenar scripts web maliciosos.…
-
WPForms Pro <= 1.8.5.3 – Cross-Site Scripting almacenado sin autenticación a través del envío de formularios
En este artículo, analizaremos una vulnerabilidad de seguridad en el plugin WPForms Pro para WordPress, que permite la ejecución de scripts de sitios cruzados almacenados sin autenticación mediante el envío de formularios. El plugin WPForms Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de parámetros de envío de formularios en todas las…
-
Cryptocurrency Widgets – Price Ticker y Coins List 2.0 – 2.6.5 – Inyección SQL no autenticada
El complemento Cryptocurrency Widgets – Price Ticker y Coins List para WordPress es vulnerable a una Inyección SQL a través del parámetro ‘coinslist’ en las versiones 2.0 a 2.6.5 debido a una escapada insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que…
-
Vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web para WordPress
En este artículo, discutiremos una vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery para WordPress. Esta vulnerabilidad puede permitir a atacantes autenticados renombrar archivos arbitrarios en el servidor, lo que podría llevar a un compromiso del sitio. El complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery…
-
WPvivid <= 0.9.94 – Falta de Autorización
El plugin WPvivid para WordPress es vulnerable a la falta de autorización en las funciones restore() y get_restore_progress() en versiones hasta, e incluyendo, la versión 0.9.94. Esto permite que atacantes no autenticados invoquen estas funciones y obtengan rutas de archivo completas si tienen acceso a un ID de respaldo. La falta de autorización en el…
-
VK Block Patterns <= 1.31.1.1 – Cross-Site Request Forgery
El plugin VK Block Patterns para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 1.31.1.1. Esto se debe a la falta de validación de nonce o una validación incorrecta en la función vbp_clear_patterns_cache(). Esto permite a atacantes no autenticados eliminar la caché de patrones a través de…