Ultimas Noticias
-
Vulnerabilidad de autorización en el plugin Spam protection, Anti-Spam, FireWall by CleanTalk <= 6.43.2
El plugin Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress es vulnerable a la instalación arbitraria de plugins no autorizados debido a un bypass de autorización a través de spoofing de DNS inverso en la función checkWithoutToken en todas las versiones hasta, e incluyendo, la 6.43.2. Esto permite que atacantes no autenticados instalen y activen…
-
Vulnerabilidad de Seguridad en Security & Malware scan by CleanTalk <= 2.145 – Bypass de Autorización a través de Reverse DNS Spoofing para Inyección SQL no Autenticada
La vulnerabilidad CVE-2024-10570 afecta al plugin de WordPress Security & Malware scan by CleanTalk, permitiendo a atacantes no autenticados realizar Inyección SQL debido a un bypass de autorización mediante Reverse DNS Spoofing en la función checkWithoutToken en todas las versiones hasta, e incluyendo, la 2.145. Esto expone a los usuarios a la posibilidad de que…
-
Skt NURCaptcha <= 3.5.0 – CSRF a XSS Almacenado
El plugin Skt NURCaptcha para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.5.0. Esto se debe a la falta o validación incorrecta de nonce en el archivo skt-nurc-admin.php. Esto permite a atacantes no autenticados actualizar configuraciones e inyectar scripts web maliciosos a través de una solicitud falsificada…
-
Filtros de Pedido Adicionales para WooCommerce <= 1.21 – Cross-Site Scripting Reflejado
El plugin Filtros de Pedido Adicionales para WooCommerce en WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘shipping_method_filter’ en todas las versiones hasta, e incluyendo, la 1.21 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Plugin de Reserva y Citas para WooCommerce <= 6.9.0 – Actualización de Opción Arbitraria Autenticada (Suscriptor+)
El Plugin de Reserva y Citas para WooCommerce en WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función ‘save_google_calendar_data’ en versiones hasta, e incluyendo, la 6.9.0. Esto permite a los atacantes autenticados, con permisos de nivel suscriptor o superior, actualizar arbitrariamente las opciones…
-
Vulnerabilidad de Cross-Site Scripting almacenado en plugin de pago para WordPress
La vulnerabilidad CVE-2024-11228 afecta al plugin de pago ‘워드프레스 결제 심플페이 – 우커머스 결제 플러그인’ para WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting almacenado a través del shortcode pafw_instant_payment. El plugin en cuestión muestra falta de neutralización adecuada de entradas durante la generación de páginas web, lo que permite a usuarios con acceso de…
-
우커머스 네이버페이 <= 3.3.7 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través de Shortcode mnp_purchase
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin 우커머스 네이버페이 para WordPress, en versiones hasta 3.3.7, permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. El plugin 우커머스 네이버페이 para WordPress es vulnerable a Cross-Site Scripting…