Ultimas Noticias
-
Vulnerabilidad de Travesía de Directorio en WordPress File Upload <= 4.24.7 – Authenticated (Contributor+)
La vulnerabilidad CVE-2024-5852, también conocida como ‘Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)’, afecta al plugin WordPress File Upload en versiones hasta la 4.24.7. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso Contributor y superior, cargar archivos en ubicaciones arbitrarias en el servidor web. La vulnerabilidad se encuentra en…
-
Vulnerabilidad de Cross-Site Scripting en WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce <= 3.1.43
Se ha descubierto una vulnerabilidad de Cross-Site Scripting en el plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 3.1.43 y permite a atacantes autenticados inyectar scripts web maliciosos en las páginas del sitio. La vulnerabilidad se debe a la falta…
-
Glossary <= 2.2.26 – Divulgación no autenticada de ruta completa
El plugin Glossary para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 2.2.26. Esto se debe a que el plugin utiliza wpdesk y no impide el acceso directo a los archivos de prueba, junto con la activación de display_errors. Esto hace posible que atacantes no autenticados…
-
AForms <= 2.2.6 – Divulgación de Ruta Completa no Autenticada
El complemento AForms – Form Builder for Price Calculator & Cost Estimation para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 2.2.6. Esto se debe a que el complemento utiliza la biblioteca aura y permite acceso directo a los archivos de pruebas phpunit. Esto hace posible…
-
Send Users Email <= 1.5.1 – Exposición de Información no Autenticada
El plugin Send Users Email para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.5.1 a través de archivos de registro públicamente expuestos. Esto permite que atacantes no autenticados puedan ver información potencialmente sensible contenida en los archivos de registro expuestos. Para subsanar este problema, se…
-
Vulnerabilidad CSRF en i-transform <= 3.0.9
El tema i-transform para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 3.0.9. Esto se debe a una validación de nonce faltante o incorrecta en una función. Esto permite que atacantes no autenticados realicen una acción no autorizada a través de una solicitud falsificada, siempre y cuando puedan engañar…
-
Popularis Verse <= 1.0.1 – Cross-Site Request Forgery
El tema Popularis Verse para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 1.0.1. Esto se debe a la falta o validación incorrecta del nonce en una función. Esto hace posible que atacantes no autenticados realicen una acción no autorizada a través de una solicitud falsificada siempre y cuando puedan engañar…