Ultimas Noticias
-
Vulnerabilidad de Subida de Archivos en WP JobSearch <= 2.6.7 – Subidos de Archivos Arbitrarios (Subscriber+)
El plugin JobSearch WP Job Board para WordPress es vulnerable a subidas de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función jobsearch_wp_handle_upload() en todas las versiones hasta, e incluyendo, la 2.6.7. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, subir archivos arbitrarios en el…
-
Plugin de Social Share, Social Login y Social Comments – Super Socializer <= 7.13.68 – Bypass de Autenticación
El plugin de Social Share, Social Login y Social Comments – Super Socializer para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 7.13.68. Esto se debe a una verificación insuficiente del usuario que regresa el token de inicio de sesión social. Esto permite que atacantes no autenticados…
-
Heateor Social Login WordPress <= 1.1.35 – Vulnerabilidad de Bypass de Autenticación
El plugin Heateor Social Login para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 1.1.35. Esto se debe a una verificación insuficiente en el usuario devuelto por el token de inicio de sesión social. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente…
-
Galería de Videos para WooCommerce <= 1.31 – Autorización faltante para eliminación de archivos limitada no autenticada
El plugin Video Gallery for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función remove_unused_thumbnails() en todas las versiones hasta, e incluyendo, la 1.31. Esto hace posible que atacantes no autenticados eliminen miniaturas en el directorio video-wc-gallery-thumb. Los usuarios afectados…
-
Tumult Hype Animations <= 1.9.14 – Falta de Autorización
El plugin Tumult Hype Animations para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidades en la función hypeanimations_getcontent en todas las versiones hasta, e incluyendo, la 1.9.14. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, recuperen información de animaciones. Para…
-
mFolio Lite <= 1.2.1 – Falta de autorización para carga de archivos peligrosos a través de archivos EXE y SVG
El plugin mFolio Lite para WordPress es vulnerable a la carga de archivos debido a la ausencia de una verificación de capacidad en todas las versiones hasta, e incluyendo, la 1.2.1. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario…
-
EleForms – Integración de Formularios Todo en Uno incluyendo BD para Elementor <= 2.9.9.9 – Falta de Autorización
El plugin EleForms – Integración de Formularios Todo en Uno incluyendo BD para Elementor para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de comprobación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 2.9.9.9. Esto permite a atacantes no autenticados ver envíos de formularios. Los…