Ultimas Noticias
-
WP Total Branding <= 1.2 – Cross-Site Scripting Almacenado Autenticado (Administrador+) a través del parámetro de título
El plugin WP Total Branding – Solución completa de marca para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 1.2 debido a la sanitización insuficiente de la entrada y la escape de la salida. Esto permite a atacantes autenticados, con permisos…
-
Vulnerabilidad de Cross-Site Scripting en plugin PowerPress Podcasting by Blubrry <= 11.9.10
El plugin PowerPress Podcasting by Blubrry para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) a través del parámetro ‘media_url’ en todas las versiones hasta, e incluyendo, 11.9.10. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes no autenticados insertar…
-
WP Popups – WordPress Popup builder <= 2.2.0.1 – Divulgación de Ruta Completa no Autenticada
El plugin WP Popups – WordPress Popup builder para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, 2.2.0.1. Esto se debe a que el plugin utiliza mobiledetect sin impedir el acceso directo a los archivos. Esto hace posible que atacantes no autenticados obtengan la ruta completa de…
-
Vulnerabilidad de Cross-Site Request Forgery en Event post <= 5.9.5
El plugin Event post para WordPress es vulnerable a la actualización no autorizada de metadatos en masa debido a la falta de comprobación de nonce en la función save_bulkdatas en todas las versiones hasta, e incluyendo, la 5.9.5. Esto permite que atacantes no autenticados actualicen post_meta_data a través de una solicitud falsificada, siempre y cuando…
-
Image Optimizer, Resizer and CDN – Sirv <= 7.2.7 – Vulnerabilidad de Autorización en la Actualización de Configuración del Plugin
El plugin Image Optimizer, Resizer and CDN – Sirv para WordPress es vulnerable a la modificación no autorizada de la configuración del plugin debido a la falta de comprobaciones de capacidad en las funciones del plugin en todas las versiones hasta, e incluyendo, la 7.2.7. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor…
-
Vulnerabilidad de Cross-Site Scripting en Feeds for YouTube para WordPress
La vulnerabilidad CVE-2024-6256 afecta al plugin Feeds for YouTube (YouTube video, channel, and gallery plugin) para WordPress, permitiendo a atacantes autenticados insertar scripts maliciosos en páginas del sitio web. La vulnerabilidad de Cross-Site Scripting almacenado en Feeds for YouTube está presente en todas las versiones anteriores a la 2.2.1. Esto se debe a una sanitización…
-
JSON API User <= 3.9.3 – Vulnerabilidad de Escalada de Privilegios sin Autenticación
La vulnerabilidad de escalada de privilegios sin autenticación en el plugin JSON API User para WordPress afecta a todas las versiones hasta, e incluyendo, la 3.9.3. Esto se debe a controles inapropiados en los campos de metadatos de usuario personalizados. Esto hace posible que atacantes no autenticados se registren como administradores en el sitio. El…