SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

    Ultimas Noticias

    • Hello in All Languages <= 1.0.6 – CSRF a XSS Almacenado

      El plugin Hello In All Languages para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.6. Esto se debe a una validación de nonce faltante o incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una…

      Leer Mas

    • Inyección de SQL Autenticada (Admin+) en Responsive Filterable Portfolio <=1.0.8

      El plugin Responsive Filterable Portfolio para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 1.0.8 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados…

      Leer Mas

    • AR for WordPress <= 7.3 – Falta de Autorización para Carga de Archivos Limitada no Autenticada

      El plugin AR for WordPress para WordPress es vulnerable a la carga de archivos con doble extensión no autorizada debido a la falta de verificación de capacidades en la función set_ar_featured_image() en todas las versiones hasta, e incluyendo, la 7.3. Esto permite que atacantes no autenticados carguen archivos php aprovechando un ataque de doble extensión.…

      Leer Mas

    • Print Science Designer <= 1.3.152 – Inyección de Objetos PHP no autenticada

      La vulnerabilidad de inyección de objetos PHP en el complemento Print Science Designer para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.3.152 a través de la deserialización de entradas no confiables a través de la cookie ‘designer-saved-projects’. Esto permite a atacantes no autenticados inyectar un objeto PHP. No se conoce ninguna cadena…

      Leer Mas

    • Country Blocker <= 3.2 – Cross-Site Scripting Reflejado

      La vulnerabilidad CVE-2024-11459 afecta al plugin Country Blocker para WordPress hasta la versión 3.2, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en las páginas si logran engañar a un usuario para realizar alguna acción como hacer clic en un enlace. Esta vulnerabilidad se debe a una insuficiente sanitización de entradas y escape de…

      Leer Mas

    • Sistema de Gestión de Biblioteca <= 3.0.0 – Inyección SQL Autenticada (Suscriptor+)

      El plugin Gestión de Biblioteca – Gestionar biblioteca de libros digitales para WordPress es vulnerable a Inyección SQL a través del parámetro ‘owt7_borrow_books_id’ en todas las versiones hasta, e incluyendo, la 3.0.0 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL…

      Leer Mas

    • Vulnerabilidad de Subida de Archivos Arbitrarios en Opt-In Downloads <= 4.07 – Autenticado (Suscriptor+)

      La vulnerabilidad CVE-2024-10590 en el plugin Opt-In Downloads para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función admin_upload() en todas las versiones hasta, e incluyendo, la 4.07. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan subir archivos arbitrarios…

      Leer Mas

    Ultimas Vulnerabilidades

    Ordenados por CVE

    CVE-2023-6223 CVE-2023-6498 CVE-2023-6506 CVE-2023-6520 CVE-2023-6524 CVE-2023-6567 CVE-2023-6600 CVE-2023-6629 CVE-2023-6699 CVE-2023-6733 CVE-2023-6738 CVE-2023-6747 CVE-2023-6776 CVE-2023-6828 CVE-2023-6883 CVE-2023-6980 CVE-2023-6981 CVE-2023-6984 CVE-2023-7027 CVE-2023-7068 CVE-2023-51410 CVE-2023-51418 CVE-2023-51678 CVE-2023-52177 CVE-2024-0201 CVE-2024-0616 CVE-2024-5226 CVE-2024-5260 CVE-2024-5545 CVE-2024-5668 CVE-2024-6568 CVE-2024-6709 CVE-2024-6770 CVE-2024-6824 CVE-2024-6870 CVE-2024-7032 CVE-2024-7150 CVE-2024-7257 CVE-2024-7291 CVE-2024-7390 CVE-2024-7548 CVE-2024-7651 CVE-2024-7848 CVE-2024-7854 CVE-2024-43343