Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Sikshya LMS Plugin para WordPress
El plugin Learning Management System, eLearning, Course Builder, WordPress LMS Plugin – Sikshya LMS para WordPress presenta una vulnerabilidad de Cross-Site Scripting reflejado a través del parámetro ‘page’ en versiones hasta 0.0.21, lo que podría permitir a atacantes inyectar scripts web arbitrarios en páginas de manera maliciosa. La vulnerabilidad CVE-2024-12127 se debe a una sanitización…
-
Vulnerabilidad de Cross-Site Scripting en el plugin WP BASE Booking of Appointments, Services and Events <= 4.9.1
El plugin WP BASE Booking of Appointments, Services and Events para WordPress es vulnerable a un tipo de ataque de Cross-Site Scripting (XSS) conocido como Reflected XSS a través del parámetro ‘status’ en todas las versiones hasta, e incluyendo, la 4.9.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a…
-
Vulnerabilidad en Memberful <= 1.73.9 permite la exposición de información sensible a actores no autorizados
La vulnerabilidad en el plugin de WordPress Memberful hasta la versión 1.73.9 permite la exposición de información sensible a través de la función de búsqueda del core de WordPress. Esto posibilita que atacantes no autenticados puedan extraer datos sensibles de publicaciones restringidas a roles de nivel superior como miembros del sitio. La CVE identificada como…
-
User Role Editor <= 4.64.3 – CSRF a Escalada de Privilegios
El plugin User Role Editor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.64.3. Esto se debe a la falta o validación incorrecta de nonce en la función update_roles(). Esto permite a atacantes no autenticados agregar o eliminar roles para usuarios arbitrarios, incluyendo la escalada de privilegios…
-
Stop Registration Spam <= 1.23 – Vulnerabilidad de Cross-Site Request Forgery a Cross-Site Scripting
El plugin Stop Registration Spam para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.23. Esto se debe a la falta o incorrecta validación de nonce. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada siempre que puedan engañar a…
-
SMS for WooCommerce <= 2.8.1 – Cross-Site Request Forgery to Reflected Cross-Site Scripting
El plugin SMS for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.8.1. Esta vulnerabilidad se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados inyectar scripts web maliciosos a través de una solicitud falsificada si logran engañar a…
-
Vulnerabilidad en WP All Import Pro <= 4.9.3 – SSRF autenticado (Administrador+) a través de importación de archivos
La vulnerabilidad de Solicitudes Falsificadas del Servidor en el lado del servidor (SSRF) en el complemento WP All Import Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 4.9.3 debido a la falta de protección SSRF en la función pmxi_curl_download. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior,…