Ultimas Noticias
-
Site Notes <= 2.0.0 – Cross-Site Request Forgery para Eliminar Notas Administrativas
El plugin Site Notes para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.0.0. Esto se debe a la falta de validación de nonce o a una validación incorrecta. Esto permite que atacantes no autenticados eliminen notas administrativas a través de una solicitud falsificada, siempre y cuando…
-
BookingPress <= 1.0.74 – Manipulación de precios de reserva mediante bookingpress_confirm_booking
El complemento BookingPress para WordPress es vulnerable a la manipulación del precio de reserva en todas las versiones hasta y incluyendo la 1.0.74. Esto se debe a la falta de comprobaciones de validación dentro de la función bookingpress_confirm_booking. Esto permite que atacantes no autenticados modifiquen el precio de una cita. La vulnerabilidad en el complemento…
-
TJ Shortcodes 0.1.3 – Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode
En este artículo se aborda la vulnerabilidad de TJ Shortcodes en su versión 0.1.3, la cual permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las…
-
Depicter Slider – Slider de Imágenes, Videos y Entradas Responsivo <= 2.0.6 – Cross-Site Request Forgery a través de la función 'save'
En este reporte de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Depicter Slider – Slider de Imágenes, Videos y Entradas Responsivo para WordPress en todas las versiones hasta, e incluyendo, la 2.0.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘save’. Esto…
-
New User Approve <= 2.5.1 – Ataque de Solicitud Falsificada Entre Sitios a través de admin_notices
En este reporte de seguridad, se ha identificado una vulnerabilidad de Solicitud Falsificada Entre Sitios (CSRF) en el plugin New User Approve para WordPress en todas las versiones anteriores a 2.5.2 (exclusivo). Esta vulnerabilidad se debe a la falta de validación o una validación incorrecta de nonce en la función admin_notices. Esto permite a atacantes…
-
My Sticky Bar <= 2.6.6 – Cross-Site Request Forgery para Exposición de Información Sensible
El plugin My Sticky Bar para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.6.6. Esto se debe a la falta de validación de nonce en mystickymenu-contact-leads.php. Esto permite que atacantes no autenticados activen la exportación de un archivo CSV que contiene contactos mediante una solicitud…
-
LearnPress <= 4.2.5.7 – Inyección de Comandos
En este artículo se abordará una vulnerabilidad de seguridad en el plugin LearnPress para WordPress, específicamente en las versiones hasta la 4.2.5.7. Se trata de una vulnerabilidad de inyección de comandos que afecta a la función get_content y permite a atacantes no autenticados ejecutar cualquier función pública con un parámetro, lo que podría resultar en…