Ultimas Noticias
-
Exportar Página de WordPress a HTML/CSS Estático <= 2.2.2 – Redirección Abierta
El plugin Export WP Page to Static HTML/CSS para WordPress es vulnerable a Redirección Abierta en todas las versiones hasta, e incluyendo, la 2.2.2. Esta vulnerabilidad se debe a una validación insuficiente en la URL de redirección suministrada a través del parámetro rc_exported_zip_file. Esto hace posible que atacantes no autenticados redirijan a los usuarios a…
-
Vulnerabilidad de Autorización ausente en Promolayer <= 1.1.0
El plugin Pop ups, Exit intent popups, email popups, banners, bars, countdowns and cart savers – Promolayer para WordPress es vulnerable a la actualización de configuraciones de plugin no autorizadas debido a la ausencia de una verificación de capacidad en la función disconnect_promolayer en todas las versiones hasta, e incluyendo, 1.1.0. Esto permite a atacantes…
-
Vulnerabilidad de Inyección SQL no autenticada en WP Hotel Booking <= 2.1.0
La vulnerabilidad CVE-2024-3605 afecta al plugin WP Hotel Booking para WordPress, permitiendo a atacantes no autenticados realizar Inyección SQL a través del parámetro ‘room_type’ del endpoint de la API REST /wphb/v1/rooms/search-rooms en todas las versiones hasta, e incluyendo, la 2.1.0. El problema radica en la falta de escape adecuado en el parámetro proporcionado por el…
-
Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.2.5 – Inyección SQL Autenticada (Contributor+)
El plugin Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress para WordPress es vulnerable a Inyección SQL a través del atributo shortcode order_by en todas las versiones hasta, e incluyendo, 1.2.5 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la…
-
Vulnerabilidad de Cross-Site Scripting en WooCommerce Checkout & Funnel Builder por CartFlows
La vulnerabilidad CVE-2024-4632 afecta al plugin WooCommerce Checkout & Funnel Builder por CartFlows para WordPress, permitiendo a atacantes con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas del sitio. La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WooCommerce Checkout & Funnel Builder por CartFlows hasta la versión 2.0.7 se debe a una…
-
Vulnerabilidad de Cross-Site Scripting Autenticado en YARPP Plugin de WordPress <= 5.30.9
El plugin YARPP – Yet Another Related Posts Plugin para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a versiones anteriores a la 5.30.9. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad surge de una sanitización insuficiente de la…
-
Vulnerabilidad en WP Maintenance <= 6.1.9.2 – Spoofing de IP para Evadir Modo de Mantenimiento
El plugin WP Maintenance para WordPress es vulnerable a Spoofing de Dirección IP en todas las versiones hasta, e incluyendo, la 6.1.9.2 debido a una validación insuficiente de la dirección IP y al uso de encabezados HTTP suministrados por el usuario como método principal para la recuperación de la IP. Esto permite a atacantes no…