Ultimas Noticias
-
ConvertKit <= 2.4.9 – Falta de Autorización
El plugin ConvertKit – Email Newsletter, Email Marketing, Subscribers and Landing Pages para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidad en la función tag_subscriber en todas las versiones hasta, e incluyendo, la 2.4.9. Esto hace posible que atacantes no autenticados suscriban usuarios a etiquetas.…
-
Vulnerabilidad de Inclusión de Archivos Locales en The Plus Addons for Elementor
El complemento de The Plus Addons for Elementor Page Builder para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 5.5.6 a través del parámetro ‘magazine_style’ dentro del widget Dynamic Smart Showcase. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, incluir y ejecutar…
-
Vulnerabilidad de Reflected Cross-Site Scripting en The Plus Addons for Elementor Page Builder <= 5.5.6 a través de los widgets de WP Login y Register
El plugin The Plus Addons for Elementor Page Builder para WordPress es vulnerable a Reflected Cross-Site Scripting a través del atributo ‘forgoturl’ dentro del widget WP Login & Register en todas las versiones hasta, e incluyendo, la 5.5.6 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes no…
-
Gestor de Licencias para WooCommerce <= 3.0.7 – Autorización Inadecuada para Exposición de Información Sensible a Usuarios Autenticados (Contribuyentes+)
El plugin License Manager for WooCommerce para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de una verificación de capacidad en las funciones ‘lmfwc_show_license_key’ y ‘lmfwc_show_all_license_keys’ en todas las versiones hasta, e incluyendo, la 3.0.7. Esto hace posible que atacantes autenticados, con acceso al panel de administración (contribuyentes por…
-
WP Child Theme Generator <= 1.1.1 – Ausencia de Autorización para Creación/Activación de Temas Hijos no Autenticados
El plugin WP Child Theme Generator para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función wctg_easy_child_theme() en todas las versiones hasta, e incluyendo, la 1.1.1. Esto hace posible que atacantes sin autenticar creen un tema hijo en blanco y lo activen causando…
-
Ocultar Notificaciones del Panel de Control <= 1.3 – Falta de Autorización para Modificación de Ajustes del Plugin
El plugin Hide Dashboard Notifications para WordPress es vulnerable a la modificación no autorizada de datos debido a la ausencia de una comprobación de capacidad en la función ‘warning_notices_settings’ en todas las versiones hasta, e incluyendo, la 1.3. Esto permite que atacantes autenticados, con acceso de colaborador y superior, modifiquen los ajustes del plugin. Se…
-
Smush – Lazy Load Images, Optimiza y Comprime Imágenes <= 3.16.4 – Falta de Autorización para Eliminar Lista de Resmush
El plugin Smush para WordPress es vulnerable a la eliminación no autorizada de la lista de resmush debido a la falta de una comprobación de capacidad en la función delete_resmush_list(). Esto permite a atacantes autenticados, con permisos mínimos como un suscriptor, eliminar la lista de resmush para Nextgen o la Biblioteca Multimedia. Los usuarios afectados…