Ultimas Noticias
-
Upload de archivos arbitrarios en Order Export & Order Import for WooCommerce <= 2.4.3 – (Administradores de tienda+)
En este reporte de seguridad se ha identificado una vulnerabilidad en el plugin Order Export & Order Import for WooCommerce para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel administrador de tienda o superior subir archivos arbitrarios al servidor del sitio afectado, lo que podría dar lugar a la ejecución remota de…
-
Orbit Fox by ThemeIsle <= 2.10.27 – Cross-site Scripting almacenada autenticada (Contribuidor+) a través del widget Tabla de precios de Elementor
El complemento Orbit Fox de ThemeIsle para WordPress es vulnerable a Cross-site Scripting almacenada a través del widget Tabla de precios en todas las versiones hasta, e incluyendo, la 2.10.27 debido a una sanitización insuficiente de la entrada y escape de salida en el enlace URL proporcionado por el usuario. Esto permite a atacantes autenticados…
-
Advanced Woo Search <= 2.96 – XSS Reflejado
El plugin Advanced Woo Search para WordPress es vulnerable a XSS Reflejado a través del parámetro de búsqueda en todas las versiones hasta, e incluyendo, la versión 2.96 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si…
-
The Events Calendar <= 6.2.8.2 – Exposición de información confidencial no autenticada
El complemento The Events Calendar para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta, e incluyendo, la 6.2.8.2 a través de la función route enganchada en wp_ajax_nopriv_tribe_dropdown. Esto permite a atacantes no autenticados extraer datos potencialmente sensibles, incluyendo títulos y ID de publicaciones pendientes, privadas y borradores. El complemento…
-
Voting Record <= 2.0 – Cross-Site Request Forgery a la actualización de configuración y Cross-Site Scripting
En este artículo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versión 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuración del plugin e inyectar código JavaScript, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción…
-
Voting Record <= 2.0 – Cross-Site Scripting (XSS) almacenado autenticado (Suscriptor+)
Este artículo aborda la vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la versión 2.0 y anteriores del plugin Voting Record para WordPress. Analizaremos cómo esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada.…
-
Index Now <= 2.6.3 – Cross-Site Request Forgery via reset_form
El complemento Index Now para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 2.6.3. Esto se debe a la validación faltante o incorrecta de nonce en la función ‘reset_form’. Esto permite a atacantes no autenticados eliminar opciones arbitrarias del sitio a través de una solicitud falsificada, siempre y…