Ultimas Noticias
-
WP Menu Image <= 2.2 – Eliminación de Imágenes de Menú sin Autenticación
El plugin WP Menu Image para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función ‘wmi_delete_img_menu’ en todas las versiones hasta, e incluyendo, la 2.2. Esto permite que atacantes no autenticados eliminen imágenes de menús. Los usuarios afectados por esta vulnerabilidad deben actualizar…
-
Vulnerabilidad en el plugin de WordPress Design for Contact Form 7 Style – CF7 WOW Styler <= 1.6.9 – Ejecución arbitraria de shortcode no autenticado y Scripting entre sitios reflejado
El plugin Design for Contact Form 7 Style WordPress Plugin – CF7 WOW Styler para WordPress es vulnerable a la ejecución arbitraria de shortcode en todas las versiones hasta, e incluyendo, la 1.6.9. Esta vulnerabilidad se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes…
-
Vulnerabilidad de Cross-Site Request Forgery en Chative Live Chat and Chatbot <= 1.1 a través de la función add_chative_widget_action
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Chative Live Chat and Chatbot para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.1. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la función add_chative_widget_action(). Esto permite a atacantes no autenticados cambiar el ID del canal o…
-
Woomotiv <= 3.6.1 – Inyección de SQL sin autenticación
La notificación de ventas en vivo para el plugin de Woocommerce – Woomotiv para WordPress es vulnerable a Inyección de SQL a través de la cookie ‘woomotiv_seen_products_.*’ en todas las versiones hasta, e incluyendo, la 3.6.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en…
-
Timeline Designer <= 1.4 – Inyección SQL Autenticada (Admin+)
La vulnerabilidad de Inyección SQL en el plugin de WordPress Timeline Designer hasta la versión 1.4 permite a atacantes autenticados realizar consultas SQL maliciosas que podrían comprometer la seguridad del sistema. La versión afectada del plugin Timeline Designer para WordPress permite a atacantes autenticados, con privilegios de administrador o superiores, insertar consultas SQL maliciosas a…
-
Themes Coder – Crear Apps de Android e iOS Para Tu Sitio Woocommerce <= 1.3.4 – Referencia Directa a Objetos Insegura para Cambio de Contraseña/Toma de Cuenta/Escalada de Privilegios
El plugin Themes Coder – Crear Apps de Android e iOS para tu sitio Woocommerce para WordPress es vulnerable a la escalada de privilegios a través de la toma de cuentas en todas las versiones hasta, e incluyendo, la 1.3.4. Esto se debe a que el plugin no valida correctamente la identidad de un usuario…
-
Vulnerabilidad de Reflected Cross-Site Scripting en plugin Enable Accessibility <= 1.4.1
El plugin Enable Accessibility para WordPress es vulnerable a Reflected Cross-Site Scripting debido a la falta de escapado adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.4.1. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para realizar una…