Ultimas Noticias
-
Constant Contact Forms by MailMunch <= 2.0.11 – Cross-Site Scripting almacenado (Contribuidor+) Autenticado
El complemento Constant Contact Forms by MailMunch para WordPress es vulnerable a Cross-Site Scripting almacenado a través de un parámetro desconocido en versiones hasta, e incluyendo, 2.0.11 debido a una sanitización insuficiente de la entrada y un escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar…
-
Profile Builder Pro <= 3.10.0 – Divulgación de Información Sensible de Contraseña de Un Solo Uso Basada en Tiempo (TOTP) Autenticada (Suscriptor+)
El complemento Profile Builder Pro para WordPress es vulnerable a la divulgación de información sensible en todas las versiones hasta, e incluyendo, la 3.10.0. Esto permite a los atacantes autenticados, con acceso de nivel suscriptor y superior, extraer una contraseña de un solo uso (TOTP) sensible basada en el tiempo. La vulnerabilidad se debe a…
-
WordPress Manutenção <= 1.0.6 – Bypass de Modo de Mantenimiento mediante IP Spoofing
El plugin de WordPress Manutenção es vulnerable a IP Spoofing en todas las versiones hasta, e incluyendo, la 1.0.6. Esto se debe a una validación insuficiente de direcciones IP. Esto permite que atacantes no autenticados eludan la restricción de modo de mantenimiento del plugin a través del encabezado HTTP ‘X-Forwarded-For’. La vulnerabilidad de IP Spoofing…
-
Upload de archivos arbitrarios en Order Export & Order Import for WooCommerce <= 2.4.3 – (Administradores de tienda+)
En este reporte de seguridad se ha identificado una vulnerabilidad en el plugin Order Export & Order Import for WooCommerce para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel administrador de tienda o superior subir archivos arbitrarios al servidor del sitio afectado, lo que podría dar lugar a la ejecución remota de…
-
Orbit Fox by ThemeIsle <= 2.10.27 – Cross-site Scripting almacenada autenticada (Contribuidor+) a través del widget Tabla de precios de Elementor
El complemento Orbit Fox de ThemeIsle para WordPress es vulnerable a Cross-site Scripting almacenada a través del widget Tabla de precios en todas las versiones hasta, e incluyendo, la 2.10.27 debido a una sanitización insuficiente de la entrada y escape de salida en el enlace URL proporcionado por el usuario. Esto permite a atacantes autenticados…
-
Advanced Woo Search <= 2.96 – XSS Reflejado
El plugin Advanced Woo Search para WordPress es vulnerable a XSS Reflejado a través del parámetro de búsqueda en todas las versiones hasta, e incluyendo, la versión 2.96 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si…
-
The Events Calendar <= 6.2.8.2 – Exposición de información confidencial no autenticada
El complemento The Events Calendar para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta, e incluyendo, la 6.2.8.2 a través de la función route enganchada en wp_ajax_nopriv_tribe_dropdown. Esto permite a atacantes no autenticados extraer datos potencialmente sensibles, incluyendo títulos y ID de publicaciones pendientes, privadas y borradores. El complemento…