Ultimas Noticias
-
Traveler <= 3.1.6 – Inyección SQL no autenticada a través de order_id
La vulnerabilidad de inyección SQL no autenticada en Traveler WordPress Theme hasta la versión 3.1.6 permite a atacantes no autenticados agregar consultas SQL adicionales para extraer información sensible de la base de datos. El tema de WordPress Travel Booking es vulnerable a una inyección SQL basada en tiempo a través del parámetro ‘order_id’ en todas…
-
Traveler <= 3.1.6 – Falta de Autorización en Varias Acciones de AJAX
La temática Travel Booking WordPress Theme para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en las funciones ‘__stPartnerCreateServiceRental’, ‘st_delete_order_item’, ‘_st_partner_approve_booking’, ‘save_order_item’ y ‘__userDenyEachInfo’ en todas las versiones hasta, e incluyendo, la 3.1.6. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior,…
-
Vulnerabilidad de Exposición de Información Sensible en Animation Addons for Elementor <= 1.1.6
La vulnerabilidad CVE-2024-12340 en el complemento Animation Addons for Elementor para WordPress permite la exposición de información sensible a actores no autorizados. La vulnerabilidad reside en la función ‘render’ en los archivos widgets/content-slider.php y widgets/tabs.php de la versión 1.1.6 y anteriores del complemento. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior,…
-
Peter’s Custom Anti-Spam <= 3.2.3 – Vulnerabilidad de Cross-Site Request Forgery a través de la función cas_register_post
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Peter’s Custom Anti-Spam para WordPress afecta a todas las versiones hasta, e incluyendo, la 3.2.3. Esto se debe a la falta de validación de nonce en la función cas_register_post(). Esto hace posible que atacantes no autenticados añadan correos electrónicos a la lista negra mediante una…
-
Suite de Programa de Afiliados — SliceWP Afiliados <= 1.1.23 – Cross-Site Request Forgery a Reflected Cross-Site Scripting
El plugin de WordPress Affiliate Program Suite — SliceWP Affiliates es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.1.23. Esto se debe a la validación de nonce faltante o incorrecta en una función. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud…
-
Vulnerabilidad de Autenticación en Biagiotti Membership <= 1.0.2 a través de biagiotti_membership_check_facebook_user
La vulnerabilidad de autenticación en el plugin Biagiotti Membership para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.0.2. Esto se debe a que el plugin no verifica adecuadamente la identidad de un usuario antes de autenticarlos. Esto permite a atacantes no autenticados iniciar sesión como otros usuarios, como administradores, siempre que tengan…
-
Vulnerabilidad en Simple Page Access Restriction <= 1.0.29 permite la exposición de información sensible a actores no autorizados
La vulnerabilidad en el complemento Simple Page Access Restriction para WordPress permite la exposición de información sensible a actores no autorizados a través de la función de búsqueda central de WordPress. El complemento Simple Page Access Restriction para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la…