Ultimas Noticias
-
Vulnerabilidad de XSS reflejado en Mollie for Contact Form 7 <= 5.0.0
El plugin Mollie for Contact Form 7 para WordPress es vulnerable a XSS reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 5.0.0 debido a una sanitización insuficiente de entradas y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
Filtro de Mensajes para Contact Form 7 <= 1.6.3 – Falta de Autorización para Crear Nuevos Filtros por Usuarios Autenticados (Suscriptor+)
El plugin Message Filter for Contact Form 7 para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función saveFilter() en todas las versiones hasta, e incluyendo, la 1.6.3. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, crear nuevos filtros.…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Persian WooCommerce SMS para WordPress
El plugin افزونه پیامک ووکامرس Persian WooCommerce SMS para WordPress es vulnerable a Cross-Site Scripting reflejado debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, 7.0.5. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario…
-
Vulnerabilidad en Plugin Pojo Forms <= 1.4.7 permite la Ejecución de Shortcodes Arbitrarios (Suscriptor+)
El plugin Pojo Forms para WordPress es vulnerable a la ejecución arbitraria de shortcodes a través de la acción AJAX form_preview_shortcode en todas las versiones hasta, e incluyendo, la 1.4.7. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto…
-
Verowa Connect <= 3.0.1 – Inyección SQL sin autenticación
La vulnerabilidad de SQL Injection en el plugin Verowa Connect para WordPress, hasta la versión 3.0.1, permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos. La versión 3.0.1 del plugin Verowa Connect para WordPress es vulnerable a SQL Injection a través del…
-
Ultimate Coming Soon & Maintenance <= 1.0.9 – Falta de autorización para la actualización de nombres de plantillas
El plugin Ultimate Coming Soon & Maintenance para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘ucsm_update_template_name_lite’ en todas las versiones hasta, e incluyendo, la 1.0.9. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, cambien el nombre…
-
Ultimate Coming Soon & Maintenance <= 1.0.9 – Falta de Autorización para Activación de Plantilla no Autenticada
El plugin Ultimate Coming Soon & Maintenance para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ucsm_activate_lite_template_lite en todas las versiones hasta, e incluyendo, la 1.0.9. Esto permite que atacantes no autenticados cambien la plantilla utilizada para la página de pròximamente /…