Ultimas Noticias
-
Vulnerabilidad en Varios Plugins de WordPress.org – Inyección de Puerta Trasera
Varios plugins para WordPress alojados en WordPress.org han sido comprometidos e inyectados con scripts PHP maliciosos. Un actor de amenazas maliciosas comprometió el código fuente de varios plugins e inyectó código que exfiltra las credenciales de la base de datos y se utiliza para crear nuevos usuarios administradores maliciosos y enviar esos datos a un…
-
The7 – Constructor de Sitios Web y eCommerce para WordPress <= 11.13.0 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Atributo url
El tema de WordPress The7 – Website and eCommerce Builder es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘url’ en los widgets de Iconos y Encabezados en todas las versiones hasta, e incluyendo, la versión 11.13.0 debido a una insuficiente saneamiento de entradas y escape de salida en atributos proporcionados por el usuario.…
-
Quiz Maker <= 6.5.8.3 – Inyección SQL no autenticada a través del parámetro 'ays_questions'
El plugin Quiz Maker para WordPress es vulnerable a Inyección SQL basada en el tiempo a través del parámetro ‘ays_questions’ en todas las versiones hasta, e incluyendo, la 6.5.8.3 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes…
-
Zita Elementor Site Library <= 1.6.2 – Falta de Autorización para la Creación de Páginas y Modificación de Opciones
El plugin Zita Elementor Site Library para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en las funciones import_xml_data, xml_data_import, import_option_data, import_widgets e import_customizer_settings en todas las versiones hasta, e incluyendo, la 1.6.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
Vulnerabilidad de Inclusión de Archivos en WPCafe para WooCommerce <= 2.2.25
La vulnerabilidad CVE-2024-5431 en el plugin WPCafe para WordPress permite a atacantes autenticados con nivel de acceso de Colaborador o superior incluir archivos remotos en el servidor, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad detectada en el plugin WPCafe – Online Food Ordering, Restaurant Menu, Delivery, and Reservations for WooCommerce…
-
Vulnerabilidad de divulgación en la página de inicio de sesión en SiteGuard WP Plugin <= 1.7.6
La vulnerabilidad CVE-2024-37881 identificada en el plugin SiteGuard WP Plugin para WordPress pone en riesgo la seguridad de los sitios web al permitir a los atacantes no autenticados acceder a la URL de la página de inicio de sesión. El plugin SiteGuard WP Plugin hasta la versión 1.7.6 es vulnerable a la omisión del mecanismo…
-
UberMenu <= 3.8.3 – Cross-Site Request Forgery para Restablecer Configuraciones
El plugin de UberMenu para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.8.3. Esto se debe a la falta o validación incorrecta de nonce en las funciones ubermenu_delete_all_item_settings y ubermenu_reset_settings. Esto permite que atacantes no autenticados eliminen y restablezcan las configuraciones del plugin a través de una…