Ultimas Noticias
-
Advanced Database Cleaner <= 3.1.3 – Inyección de Objeto PHP Autenticado(Administrador+) a través de process_bulk_action
En este informe de seguridad te alertamos sobre una vulnerabilidad en el plugin Advanced Database Cleaner para WordPress, que permite una inyección de objeto PHP en la función ‘process_bulk_action’. Esta vulnerabilidad afecta a todas las versiones hasta la 3.1.3 y puede ser explotada por un atacante autenticado con acceso de administrador o superior. Esta inyección…
-
Vulnerabilidad de Cross-Site Scripting almacenada en WPFront Notification Bar <= 3.3.2
El plugin WPFront Notification Bar para WordPress es vulnerable a Cross-Site Scripting almacenada a través del parámetro ‘wpfront-notification-bar-options[custom_class]’ en todas las versiones hasta, e incluyendo, la 3.3.2 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con privilegios de administrador, inyectar scripts web arbitrarios en páginas…
-
Paid Memberships Pro <= 2.12.7 – Cross-Site Request Forgery para Actualización de Pedidos
En este reporte de seguridad, se ha encontrado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 2.12.7. Debido a una validación incorrecta o ausencia de nonce en la función pmpro_update_level_order(), es…
-
Category Discount Woocommerce <= 4.11 – Cross-Site Request Forgery a través de wpcd_save_discount()
En este artículo se reporta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Category Discount Woocommerce para WordPress. La versión afectada es la 4.12 y versiones anteriores. Este problema se debe a la falta de validación de nonce o a una validación incorrecta en la función wpcd_save_discount(). Esta vulnerabilidad permite a atacantes no…
-
WebSub (FKA. PubSubHubbub) <= 3.1.4 – Stored Cross-Site Scripting Autenticado (Admin+)
En este artículo, hablaremos sobre una vulnerabilidad de tipo Stored Cross-Site Scripting (XSS) en el plugin ‘WebSub (FKA. PubSubHubbub)’ para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de nivel administrador o superior, inyectar scripts web arbitrarios en las páginas del sitio, los cuales se ejecutarán cada vez que un usuario acceda a una…
-
WP Go Maps (anteriormente WP Google Maps) <= 9.0.28 – Cross-Site Scripting Reflejada
El plugin WP Go Maps (anteriormente WP Google Maps) para WordPress es vulnerable a Cross-Site Scripting Reflejada a través del parámetro del id del mapa en todas las versiones hasta, e incluyendo, 9.0.28 debido a una sanitización insuficiente de la entrada y a la falta de escape del resultado. Esto permite que atacantes no autenticados…
-
WP Customer Area <= 8.2.2 – Reflejo de Scripting en Sitio Cruzado
El complemento WP Customer Area para WordPress es vulnerable a Reflejo de Scripting en Sitio Cruzado a través del parámetro ‘tab’ en todas las versiones hasta, e incluyendo, la versión 8.2.1 debido a una insuficiente sanitización de datos de entrada y escape de caracteres especiales. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios…