Ultimas Noticias
-
Droip <= 1.1.1 – Eliminación arbitraria de archivos sin autenticación
El plugin Droip para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta del archivo en una función en todas las versiones hasta, e incluyendo, la 1.1.1. Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede conducir fácilmente a la…
-
LWS Affiliation <= 2.3.3 – Falta de Autorización
El plugin de LWS Affiliation para WordPress es vulnerable a accesos no autorizados debido a la falta de verificación de capacidades en una función en todas las versiones hasta, e incluyendo, la 2.3.3. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor o superior, realicen una acción no autorizada. La falta de…
-
Vulnerabilidad de Información en el Plugin de Búsqueda de WordPress Ivory Search <= 5.5.6 a través del Formulario de Búsqueda AJAX
La vulnerabilidad de Información en el plugin de búsqueda de WordPress Ivory Search hasta la versión 5.5.6 permite a atacantes no autenticados extraer datos de texto de publicaciones protegidas con contraseña utilizando un ataque basado en booleanos en el formulario de búsqueda AJAX. La vulnerabilidad de Información en el plugin de búsqueda de WordPress Ivory…
-
Bit File Manager 6.0 – 6.5.5 – Ejecución remota de código no autenticada a través de una condición de carrera
El complemento Bit File Manager para WordPress es vulnerable a la Ejecución Remota de Código en las versiones 6.0 a 6.5.5 a través de la función ‘checkSyntax’. Esto se debe a que escribe un archivo temporal en un directorio de acceso público antes de realizar la validación del archivo. Esto permite que atacantes no autenticados…
-
PixelYourSite – Gestor de Pixel (Etiqueta) y API sin autenticación – CVE-2024-7870
El plugin PixelYourSite – Your smart PIXEL (TAG) & API Manager y PixelYourSite PRO para WordPress presentan una vulnerabilidad de Exposición de Información Sensible en todas las versiones hasta la 9.7.1 y 10.4.2, respectivamente, a través de archivos de registro expuestos públicamente. Esto permite a atacantes no autenticados ver información potencialmente sensible en los archivos…
-
Vulnerabilidad en MultiVendorX – Escalada de Privilegios y Toma de Control de Cuentas
El plugin MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution para WordPress es vulnerable a la escalada de privilegios y toma de control de cuentas debido a una verificación insuficiente de capacidades en las funciones update_item_permissions_check y create_item_permissions_check en todas las versiones hasta, e incluyendo, la 4.2.0. Esta vulnerabilidad permite a atacantes no autenticados cambiar…
-
Atributos para Bloques <= 1.0.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Parámetro attributesForBlocks
El complemento Atributos para Bloques para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘attributesForBlocks’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten scripts web arbitrarios…