Ultimas Noticias
-
Panda Video <= 1.4.0 – Inclusión de Archivos Locales (Directorio Restringido) como Usuario Autenticado (Contributor+)
El plugin Panda Video para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.4.0 a través del parámetro ‘selected_button’. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Simple Alert Boxes <= 1.4.0 para WordPress
La vulnerabilidad CVE-2024-5937 se ha encontrado en el plugin Simple Alert Boxes para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web. El plugin Simple Alert Boxes para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode de Alert en todas las versiones hasta, e incluyendo, la 1.4.0 debido…
-
Comment Images Reloaded <= 2.2.1 – Eliminación arbitraria de medios autenticada (Suscriptor+)
El plugin Comment Images Reloaded para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la acción AJAX cir_delete_image en todas las versiones hasta, e incluyendo, la 2.2.1. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen adjuntos de medios arbitrarios.…
-
Tabla de Precios <= 2.0.1 – Falta de Autorización
La vulnerabilidad de ‘Missing Authorization’ en el plugin Tabla de Precios para WordPress permite el acceso no autorizado a datos debido a la falta de verificación de capacidades en la función ajax() en todas las versiones hasta, e incluyendo, la 2.0.1. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, realicen…
-
Pricing Table <= 2.0.1 – Cross-Site Request Forgery a través de ajax()
El plugin Pricing Table para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.1. Esto se debe a la falta o validación incorrecta del nonce en la función ajax(). Esto hace posible que atacantes no autenticados realicen una variedad de acciones relacionadas con la gestión de tablas de…
-
Vulnerabilidad de Cross-Site Scripting en OSM – OpenStreetMap <= 6.0.2 para WordPress
La vulnerabilidad CVE-2024-3603 en el plugin OSM – OpenStreetMap para WordPress permite a atacantes autenticados con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página. La versión 6.0.2 y anteriores del plugin OSM – OpenStreetMap son vulnerables a Cross-Site Scripting almacenado a través…
-
Vulnerabilidad de Inyección SQL en OSM – OpenStreetMap <= 6.0.2 (Autenticado como Contribuidor+)
La vulnerabilidad de inyección SQL en el plugin OSM – OpenStreetMap para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan, permitiendo a atacantes autenticados con nivel de contribuidor o superior ejecutar consultas SQL maliciosas para extraer información sensible de la base de datos. La versión 6.0.2 y anteriores del plugin…