Ultimas Noticias
-
Vulnerabilidad en plugin WP Links Page <= 4.9.5 – Falta de Autorización para la Actualización Limitada de Imágenes
El plugin WP Links Page para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘wplf_ajax_update_screenshots’ en todas las versiones hasta, e incluyendo, la 4.9.5. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, regeneren la imagen en miniatura del…
-
Laposta <= 1.12 – Divulgación de Ruta Completa sin Autenticación
El plugin Laposta para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 1.12. Esto se debe a que el plugin no evita el acceso directo a varios archivos de prueba. Esto hace posible que atacantes no autenticados puedan recuperar la ruta completa de la aplicación web,…
-
Vulnerabilidad de Cross-Site Scripting en UserFeedback Lite <= 1.0.15 a través del Parámetro Name sin Autenticación
El plugin User Feedback – Crea Formularios de Retroalimentación Interactivos, Encuestas de Usuario y Encuestas en Segundos para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro name en todas las versiones hasta, e incluyendo, la 1.0.15 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no…
-
Form Vibes <= 1.4.10 – Inyección de SQL Autenticada (Subscriber+) a través de fv_export_data
El plugin Form Vibes para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘fv_export_data’ en todas las versiones hasta, e incluyendo, la 1.4.10 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.36
Se ha descubierto una vulnerabilidad de Cross-Site Scripting en el plugin Premium Addons for Elementor para WordPress que afecta a todas las versiones hasta la 4.10.36. Esta vulnerabilidad permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.…
-
MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube <= 4.14.7 – Bypass de Autenticación
El plugin MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 4.14.7. Esto se debe a una verificación insuficiente en el parámetro ‘phone’ de las funciones ‘firebase_sms_login’ y ‘firebase_sms_login_v2’. Esto permite a atacantes no…
-
Vulnerabilidad de Inyección SQL en Wallet for WooCommerce <= 1.5.4 a través de 'search[value]'
La vulnerabilidad CVE-2024-6353 afecta al plugin Wallet for WooCommerce en todas las versiones hasta 1.5.4, permitiendo a atacantes autenticados con nivel de acceso de Suscriptor o superior realizar Inyección SQL a través del parámetro ‘search[value]’. Esta vulnerabilidad surge por la falta de escapado adecuado en el parámetro suministrado por el usuario y la falta de…