Ultimas Noticias
-
Ultimate Noindex Nofollow Tool <= 1.1.2 – Cross-Site Request Forgery para Actualizar Configuraciones
El plugin Ultimate Noindex Nofollow Tool para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en las versiones hasta, e incluyendo, la 1.1.2. Esto se debe a la falta de validación de nonce o a una validación incorrecta en una función. Esto permite a atacantes no autenticados actualizar las configuraciones del plugin mediante solicitudes falsificadas,…
-
Advanced Schedule Posts <= 2.1.8 – Reflected Cross-Site Scripting
En este informe de seguridad se revela una vulnerabilidad en el plugin Advanced Schedule Posts para WordPress, la cual permite la ejecución de scripts maliciosos a través de la técnica de Reflección de Cross-Site Scripting. Esta vulnerabilidad, identificada como CVE-2024-0249, se produce debido a una falta de sanitización en la entrada de datos y una…
-
WP-Reply Notify <= 1.1 – Cross-Site Request Forgery para Actualización de Configuración
El plugin WP-Reply Notify para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 1.1. Esto se debe a la falta o validación incorrecta de nonce en una función. Esto permite a atacantes no autenticados actualizar la configuración del plugin a través de una solicitud falsificada, siempre y cuando puedan…
-
illi Link Party! <= 1.0 – Cross-Site Scripting No Autenticada
El plugin illi Link Party! para WordPress es vulnerable a Cross-Site Scripting almacenada a través de un parámetro desconocido en versiones hasta, e incluyendo, 1.0 debido a una higiene insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez…
-
Vulnerabilidad de Almacenamiento Cruzado de Scripts entre sitios (Stored XSS) en SVG Uploads Support <= 2.1.1 – Autenticado (Escritor+)
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin de WordPress llamado SVG Uploads Support. Esta vulnerabilidad, conocida como ‘Cross-Site Scripting’ (Almacenamiento Cruzado de Scripts entre Sitios), afecta a todas las versiones hasta la 2.1.1 del plugin y permite a atacantes autenticados con permisos de nivel ‘escritor’ o superiores, inyectar scripts web…
-
Illilink Party! <= 1.0 – CSRF para Actualizar Configuraciones
El plugin Illilink Party! para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, incluyendo la 1.0. Esto se debe a la falta de validación de nonce o una validación incorrecta en una función. Esto permite a atacantes sin autenticar actualizar configuraciones mediante una solicitud falsificada, siempre y cuando puedan engañar…
-
Vulnerabilidad de Inyección de Objetos PHP no autenticada en Better Search Replace <= 1.4.4
La vulnerabilidad de Inyección de Objetos PHP en el plugin Better Search Replace para WordPress pone en riesgo la seguridad de todas las versiones hasta la 1.4.4. Esta vulnerabilidad se produce a través de la deserialización de datos no confiables, lo que permite a atacantes no autenticados inyectar un objeto PHP. Aunque no se encuentra…