Ultimas Noticias
-
Login Con OTP <= 1.4.2 – Bypass de Autenticación a través de OTP Débil
El plugin Login With OTP para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 1.4.2. Esto se debe a que el plugin genera un OTP demasiado débil y no hay intento o límite de tiempo. Esto permite que atacantes no autenticados generen y realicen fuerza bruta sobre el OTP…
-
Pubnews <= 1.0.7 – Instalación de complementos arbitrarios sin autenticación
La vulnerabilidad en el tema Pubnews para WordPress permite la instalación de complementos arbitrarios sin autenticación, lo que puede ser explotado por atacantes autenticados para comprometer la seguridad del sitio. La versión 1.0.7 y anteriores del tema Pubnews para WordPress carece de una verificación de capacidades en la función pubnews_importer_plugin_action_for_notice(), lo que facilita la instalación…
-
Vulnerabilidad de XSS almacenado en el plugin myCred – Puntos de fidelidad y recompensas <= 2.7.5.2 a través del shortcode mycred_send
El plugin myCred – Puntos de fidelidad y recompensas para WordPress y WooCommerce es vulnerable a XSS almacenado a través del shortcode mycred_send en todas las versiones hasta, e incluyendo, la 2.7.5.2. Esto se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. La vulnerabilidad de…
-
Broadcast <= 51.01 – Cross-Site Scripting Reflejado
El plugin Broadcast para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘do_check’ en todas las versiones hasta, e incluyendo, la 51.01 debido a una insuficiente sanitización de entrada y escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Vulnerabilidad en WP Hide & Security Enhancer <= 2.5.1 permite Eliminación de Contenido de Archivos Arbitrarios sin Autorización
La vulnerabilidad de Path Traversal (CVE-2024-11585) en el plugin WP Hide & Security Enhancer para WordPress permite a atacantes no autenticados eliminar el contenido de archivos arbitrarios en el servidor, lo que puede provocar la ruptura del sitio o pérdida de datos. El plugin WP Hide & Security Enhancer en todas las versiones hasta la…
-
YouTube Gallery and Vimeo Gallery Plugin <= 2.4.2 – Inyección SQL Autenticada (Administrador+)
El plugin Video Gallery – Mejor Plugin de Galería de YouTube para WordPress es vulnerable a Inyección SQL basada en tiempo a través del parámetro orderby en todas las versiones hasta, e incluyendo, la 2.4.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la…
-
Flixita <= 1.0.82 – Cross-Site Scripting Reflejado a través del Parámetro id
La vulnerabilidad CVE-2024-10836 afecta al tema Flixita para WordPress y permite a atacantes no autenticados realizar ataques de Cross-Site Scripting reflejado a través del parámetro ‘id’, poniendo en riesgo la seguridad de los sitios web. El tema Flixita para WordPress es vulnerable a Cross-Site Scripting reflejado a través del parámetro ‘id’ en todas las versiones…