Ultimas Noticias
-
WP Spell Check <= 9.17 – Cross-Site Request Forgery
El plugin WP Spell Check para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 9.17. Esto se debe a la validación de nonce faltante o incorrecta en la función wpscx_admin_empty_render(). Esto permite que atacantes no autenticados actualicen una clave API mediante una solicitud falsificada, siempre y cuando puedan engañar a…
-
PDF Invoices & Packing Slips for WooCommerce <= 3.7.5 – Inyección SQL autenticada (Shop Manager+)
En este informe de seguridad, se ha descubierto una vulnerabilidad de Inyección SQL en el plugin PDF Invoices & Packing Slips for WooCommerce para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel administrador de tienda o superior, insertar consultas SQL adicionales en consultas ya existentes, lo que podría comprometer la seguridad de…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Schema & Structured Data for WP & AMP <= 1.25
En este artículo se presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin de WordPress Schema & Structured Data for WP & AMP, en versiones iguales o inferiores a 1.25. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores, inyectar y ejecutar scripts maliciosos en las páginas web del sitio…
-
InstaWP Connect <= 0.1.0.8 – Falta de Autorización para Actualización de Opciones Arbitrarias
El plugin InstaWP Connect – Staging & Migración de WordPress en 1 clic es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función save_management_settings en todas las versiones hasta y incluyendo la 0.1.0.8. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, modificar…
-
Inyección de código autenticado (Contributor+) en Display custom fields in the frontend – Post and User Profile Fields <= 1.2.1
El plugin Display custom fields in the frontend – Post and User Profile Fields para WordPress es vulnerable a una Inyección de código autenticado a través del shortcode vg_display_data en todas las versiones hasta, e incluyendo, la 1.2.1 debido a una validación insuficiente de la entrada y restricciones de acceso a ese shortcode. Esto permite…
-
Exposición de información privada en Author Box, Guest Author and Co-Authors for Your Posts – Molongui <= 4.7.4 – CVE-2023-7014
El plugin Author Box, Guest Author and Co-Authors for Your Posts – Molongui para WordPress es vulnerable a la Exposición de información privada en todas las versiones hasta, e incluyendo, la 4.7.4 a través del parámetro ‘ma_debug’. Esto permite que atacantes no autenticados extraigan datos sensibles, incluyendo correos electrónicos y nombres de los autores de…
-
Burst Statistics Really Simple Plugins <= 1.5.3 – Inyección de SQL Autenticada (Editor+)
En este reporte de seguridad se ha descubierto una vulnerabilidad de inyección de SQL en el plugin Burst Statistics – Privacy-Friendly Analytics for WordPress, específicamente en la versión 1.5.3. Esta vulnerabilidad puede ser aprovechada por atacantes autenticados con privilegios de editor o superiores para comprometer la seguridad y acceder a información sensible de la base…