Ultimas Noticias
-
Bricks Builder <= 1.9.8 – Referencia Directa de Objeto Insegura
El plugin Bricks Builder para WordPress es vulnerable a Referencia Directa de Objeto Insegura en todas las versiones hasta, e incluyendo, la 1.9.8 a través del parámetro postId debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de Nivel Contribuidor y superior, modificar publicaciones…
-
Vulnerabilidad en ARMember Premium <= 6.7 – Cross-Site Request Forgery a través de múltiples funciones
La vulnerabilidad Cross-Site Request Forgery (CSRF) en el plugin ARMember Premium para WordPress en las versiones hasta, e incluyendo, la 6.7 permite que atacantes no autenticados puedan modificar o eliminar metausuarios y opciones del plugin, lo que puede llevar a una escalada limitada de privilegios. La versión 6.7 y anteriores del plugin ARMember Premium para…
-
ContentLock <= 1.0.3 – CSRF para Agregar Correos Electrónicos
El plugin ContentLock para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.0.3. Esto se debe a la falta o validación incorrecta de nonce en una función. Esto hace posible que atacantes no autenticados agreguen un correo electrónico a través de una solicitud falsificada, siempre que puedan…
-
ContentLock <= 1.0.3 – Cross-Site Request Forgery para Modificar Configuraciones
El plugin ContentLock para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.0.3. Esta vulnerabilidad se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados modificar la configuración del plugin mediante una solicitud falsificada si logran engañar a un administrador del…
-
Vulnerabilidad en ContentLock <= 1.0.3 – Cross-Site Request Forgery para Eliminación de Grupos/Emails
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin ContentLock para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.0.3. Esto se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados eliminar grupos y correos electrónicos a través de una solicitud falsificada si…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en WP Secure Maintenance <= 1.6
El plugin WP Secure Maintenance para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 1.6 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios…
-
Mosaic <= 1.7.1 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de shortcode de botón
El tema Mosaic para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘link’ dentro del shortcode de botón del tema en todas las versiones hasta, e incluyendo, la 1.7.1 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y…