Ultimas Noticias
-
Ninja Forms – Plugin de formulario de contacto que crece contigo <= 3.8.22 – Ejecución de shortcode arbitrario autenticado (Suscriptor+)
El plugin Ninja Forms – The Contact Form Builder That Grows With You para WordPress es vulnerable a la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 3.8.22. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar…
-
Vulnerabilidad de Privilegios en WooCommerce Point of Sale <= 6.1.0
La vulnerabilidad CVE-2024-11281 en el plugin WooCommerce Point of Sale para WordPress permite la escalada de privilegios en todas las versiones hasta, e incluyendo, la 6.1.0. Esto se debe a una validación insuficiente en el valor ‘logged_in_user_id’ cuando los valores de opción están vacíos y la capacidad para que los atacantes cambien el correo electrónico…
-
Avada Builder <= 3.11.12 – Divulgación de Posts Protegidos por Usuarios Autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-12335 permite a usuarios autenticados con privilegios de contribuidor o superiores acceder a información sensible de posts protegidos en el plugin Avada (Fusion) Builder para WordPress. Esto representa un riesgo de divulgación de información confidencial. El plugin Avada (Fusion) Builder para WordPress es vulnerable a la divulgación de información en todas las versiones…
-
NEX-Forms <= 8.7.13 – Inyección de SQL Autenticada (Admin+)
El plugin NEX-Forms – Ultimate Form Builder – Formularios de contacto y mucho más para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘search_params’ en todas las versiones hasta, e incluyendo, la 8.7.13 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en…
-
Vulnerabilidad de inyección SQL sin autenticación en el plugin WP Data Access – App, Table, Form and Chart Builder <= 5.5.22
El plugin WP Data Access – App, Table, Form and Chart Builder para WordPress es vulnerable a inyección SQL a través del parámetro ‘order[user_login][dir]’ en todas las versiones hasta, e incluyendo, la 5.5.22 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente.…
-
Plugin de WordPress Privacy Policy Generator, Terms & Conditions Generator: Vulnerabilidad de Cross-Site Request Forgery
El plugin Privacy Policy Generator, Terms & Conditions Generator para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.2.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘create_popup_delete_process’, lo que permite a atacantes no autenticados eliminar popups a través de una…
-
Tourfic – Plugin de Reserva de Hotel, Viajes y Apartamentos en WordPress | Vulnerabilidad de Inyección de SQL Autenticada
El plugin Tourfic – Ultimate Hotel Booking, Travel Booking & Apartment Booking para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘enquiry_id’ de la función ‘tf_enquiry_reply_email_callback’ en todas las versiones hasta, e incluyendo, la 2.15.3. Esto permite a atacantes autenticados con acceso de nivel Suscriptor y superior, agregar consultas SQL adicionales en…