Ultimas Noticias
-
WP Meteor Website Speed Optimization Addon <= 3.4.3 – Revelación no autorizada de la ruta completa
El complemento de optimización de velocidad del sitio web WP Meteor para WordPress es vulnerable a la revelación no autorizada de la ruta completa en todas las versiones hasta, e incluyendo, la 3.4.3. Esto se debe a que el complemento utiliza wpdesk y deja archivos de prueba con display_errors activado. Esto hace posible que atacantes…
-
LiteSpeed Cache <= 6.2.0.1 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin LiteSpeed Cache para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 6.2.0.1. Esto se debe a la validación de nonce faltante o incorrecta. Esto hace posible que atacantes no autenticados actualicen la configuración del token e inyecten JavaScript malicioso a través de una petición falsificada, siempre…
-
WP Easy Pay (Free) <= 4.2.3 – Falta de Autorización para Desconexión de Servicio no Autenticado
El plugin WP Easy Pay – Square for WordPress para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función wpep_square_disconnect() en todas las versiones hasta, e incluyendo, la 4.2.3. Esto permite que atacantes no autenticados desconecten square. La falta de autorización en…
-
Social Auto Poster <= 5.3.14 – Subida de Archivos Arbitrarios Autenticados (Contribuidor+)
El plugin Social Auto Poster para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘wpw_auto_poster_get_image_path’ en todas las versiones hasta, e incluyendo, la 5.3.14. Esto permite que atacantes autenticados, con permisos de nivel Contributor y superiores, suban archivos arbitrarios al servidor…
-
Vulnerabilidad en Social Auto Poster <= 5.3.14 – Falta de Autorización para Actualizar Metadatos de Publicaciones Arbitrarias a través de wpw_auto_poster_update_tweet_template
El plugin Social Auto Poster para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función ‘wpw_auto_poster_update_tweet_template’ en todas las versiones hasta, e incluyendo, la 5.3.14. Esto permite a atacantes autenticados, con acceso de nivel Subscriptor y superior, actualizar metadatos de publicaciones arbitrarias.…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Social Auto Poster <= 5.3.14 con acceso autenticado (Suscriptor+)
En este informe se detalla una vulnerabilidad en el plugin Social Auto Poster para WordPress que permite a atacantes autenticados con nivel de acceso Suscriptor y superior realizar ataques de Cross-Site Scripting almacenado mediante el parámetro ‘wp_name’ en la función AJAX ‘wpw_auto_poster_map_wordpress_post_type’, presentes en todas las versiones hasta la 5.3.14. La falta de saneamiento de…
-
Vulnerabilidad en Social Auto Poster <= 5.3.14 – Autorización Faltante a través de Múltiples Funciones
El plugin Social Auto Poster para WordPress es vulnerable a accesos no autorizados, modificaciones y pérdida de datos debido a la falta de comprobación de capacidades en múltiples funciones en todas las versiones hasta, e incluyendo, la 5.3.14. Esto hace posible que atacantes no autenticados puedan agregar, modificar o eliminar meta publicaciones y opciones del…