Ultimas Noticias
-
Vulnerabilidad de scripts entre sitios almacenados autenticados en Ultimate Addons for WPBakery Page Builder <= 3.19.20 a través de Shortcode
En este post se abordará una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ultimate Addons for WPBakery Page Builder, que podría ser aprovechada por usuarios autenticados con el rol Contributor o superior para ejecutar scripts maliciosos en sitios WordPress vulnerables. CVE-2024-5254 es el identificador asignado a esta vulnerabilidad, que permite a un atacante…
-
Vulnerabilidad en WP RSS Aggregator <= 4.23.11 – Falta de Autorización para Actualización de Estado de Feed Autenticado (Suscriptor+)
La vulnerabilidad identificada como CVE-2024-6621 en el plugin RSS Aggregator de WordPress permite la modificación no autorizada de datos debido a la ausencia de una verificación de capacidad en las funciones ‘wprss_activate_feed_source’ y ‘wprss_pause_feed_source’ en todas las versiones hasta, e incluyendo, la 4.23.11. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
HUSKY – Products Filter Professional for WooCommerce <= 1.3.6 – Inyección SQL basada en tiempos sin autenticación
La vulnerabilidad de inyección SQL basada en tiempos en el plugin HUSKY – Products Filter Professional for WooCommerce para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. La versión 1.3.6 y anteriores de este plugin presentan una vulnerabilidad de inyección SQL basada en tiempos a través del parámetro ‘woof_author’, debido…
-
Vulnerabilidad en Web and WooCommerce Addons for WPBakery Builder <= 1.4.5 – Modificación de Configuraciones del Plugin sin Autorización
La vulnerabilidad en el plugin Web and WooCommerce Addons for WPBakery Builder para WordPress permite a atacantes autenticados modificar configuraciones del plugin sin autorización, lo que podría comprometer la seguridad de los sitios web que lo utilizan. La falta de comprobación de capacidades en varias funciones del plugin en todas las versiones hasta, e incluyendo,…
-
Vulnerabilidad en Light Poll <= 1.0.0 – CSRF para Eliminar Respuestas de Encuestas
El plugin Light Poll para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 1.0.0. Esto se debe a la falta de validación de nonce o a una validación incorrecta en una función. Esto hace posible que atacantes no autenticados eliminen respuestas de encuestas a través de una solicitud…
-
Funciones de Portafolio Premium para tema Phlox <= 2.3.2 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de 'Grid Portfolios'
La función de Portafolio Premium para el plugin del tema Phlox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget Grid Portfolios del plugin en todas las versiones hasta, e incluyendo, la 2.3.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite…
-
Brizy – Page Builder <= 2.4.44 – Falta de Autorización para Modificación de Publicaciones Autenticadas (Contribuidor+)
El plugin Brizy – Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘update_item’ en todas las versiones hasta, e incluyendo, la 2.4.44. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, modificar el contenido de publicaciones publicadas…