Ultimas Noticias
-
LearnPress – WordPress LMS Plugin <= 4.2.7 – Inyección de SQL no autenticada a través de 'c_only_fields'
La vulnerabilidad CVE-2024-8522 afecta al plugin LearnPress – WordPress LMS Plugin para WordPress, permitiendo a atacantes no autenticados realizar Inyecciones de SQL a través del parámetro ‘c_only_fields’ del endpoint /wp-json/learnpress/v1/courses en todas las versiones hasta, e incluyendo, la versión 4.2.7. La falta de escape adecuado en el parámetro suministrado por el usuario y la preparación…
-
AprendePress – Plugin WordPress LMS <= 4.2.7 – Inyección SQL no autenticada a través de 'c_fields'
La vulnerabilidad de inyección SQL en el plugin LearnPress – WordPress LMS Plugin para WordPress permite a atacantes no autenticados insertar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos. El plugin LearnPress – WordPress LMS Plugin para WordPress es vulnerable a Inyección SQL a…
-
amCharts: Gráficos y Mapas <= 1.4.4 – Cross-Site Scripting Reflejado a través de Cross-Site Request Forgery
El plugin amCharts: Gráficos y Mapas para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘amcharts_javascript’ en todas las versiones hasta, e incluyendo, la 1.4.4 debido a la capacidad de suministrar JavaScript arbitrario y la falta de validación de nonce en la funcionalidad de vista previa. Esto permite a atacantes no autenticados…
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.23.4 – XSS Almacenado Autenticado en el Parámetro de URL en Múltiples Widgets
El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a XSS almacenado a través del parámetro de url de múltiples widgets en todas las versiones hasta, e incluyendo, la 3.23.4 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el…
-
Vulnerabilidad de Inyección SQL en video carousel slider with lightbox <= 1.0.6 – Autenticado (Admin+)
La vulnerabilidad CVE-2019-25212 detectada en el plugin video carousel slider with lightbox para WordPress permite a atacantes autenticados con nivel de administrador o superior realizar Inyección SQL a través del parámetro ‘id’. Esta vulnerabilidad se presenta en todas las versiones hasta la 1.0.6 debido a la falta de escape adecuado en el parámetro suministrado por…
-
Vulnerabilidad de Bypass de Autenticación en WooCommerce Photo Reviews Premium <= 1.3.13.2
La vulnerabilidad de autenticación bypass en el plugin WooCommerce Photo Reviews Premium para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. El plugin WooCommerce Photo Reviews Premium para WordPress es vulnerable a la autenticación bypass en todas las versiones hasta, e incluyendo, la 1.3.13.2. Esto se debe a que el…
-
WP Delicious – Plugin de Recetas para Blogueros de Comida (anteriormente Delicious Recipes) <= 1.6.9 – Validación de Ruta Inadecuada para Mover y Leer Archivos Arbitrarios Autenticados (Suscriptor+)
El plugin WP Delicious – Recipe Plugin for Food Bloggers (anteriormente Delicious Recipes) para WordPress es vulnerable a movimientos de archivos arbitrarios y lectura debido a una validación insuficiente de la ruta de archivos en la función save_edit_profile_details() en todas las versiones hasta, e incluyendo, la 1.6.9. Esto permite a atacantes autenticados, con acceso de…