Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los mensajes Follow y Unfollow en el plugin Comments - wpDiscuz de WordPress (CVE-2021-24737)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Comments - wpDiscuz de WordPress versiones hasta 7.3.0, no sanea o escapa adecuadamente de los mensajes Follow y Unfollow antes de mostrarlos en la página, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting Almacenados incluso cuando la capacidad unfiltered_html está deshabilitada
Vulnerabilidad en el plugin GeoDirectory Business Directory de WordPress (CVE-2021-24720)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin GeoDirectory Business Directory de WordPress versiones anteriores a 2.1.1.3, era vulnerable a ataques de tipo Cross-Site Scripting (XSS) Almacenados y Autenticados
Vulnerabilidad en el tema Enfold de WordPress (CVE-2021-24719)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
30/11/2021
Descripción:
El tema Enfold de WordPress versiones anteriores a 4.8.4, era vulnerable a un ataque de tipo Cross-Site Scripting (XSS) Reflejado. La vulnerabilidad está presente en las versiones de Enfold anteriores a la 4.8.4 que usan Avia Page Builder
Vulnerabilidad en los valores usados cuando se crean nuevos calendarios en el plugin Appointment Hour Booking de WordPress (CVE-2021-24712)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Appointment Hour Booking de WordPress versiones anteriores a 1.3.17, no sanea correctamente los valores usados cuando se crean nuevos calendarios
Vulnerabilidad en la acción AJAX del_reistered_domains del plugin Software License Manager de WordPress (CVE-2021-24711)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
La acción AJAX del_reistered_domains del plugin Software License Manager de WordPress versiones anteriores a 4.5.1 no presenta comprobaciones de tipo CSRF, y es vulnerable a un ataque de tipo CSRF
Vulnerabilidad en algunas de las configuraciones en el plugin Weather Effect de WordPress (CVE-2021-24709)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Weather Effect de WordPress versiones anteriores a 1.3.6, no comprueba ni escapa correctamente de algunas de sus configuraciones (como *_size_leaf, *_flakes_leaf, *_speed), lo que podría conllevar a problemas de tipo Cross-Site Scripting Almacenado
Vulnerabilidad en la configuración de Quiz Url Slug en el plugin Quiz And Survey Master de WordPress (CVE-2021-24691)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Quiz And Survey Master de WordPress versiones anteriores a 7.3.2, no escapa de la configuración de Quiz Url Slug antes de mostrarla en algunas páginas, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Vulnerabilidad en las entradas en la configuración del plugin en el plugin Chained Quiz de WordPress (CVE-2021-24690)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Chained Quiz de WordPress versiones anteriores a 1.2.7.2, no sanea o escapa correctamente de las entradas en la configuración del plugin
Vulnerabilidad en la configuración de Duplicate Post Suffix en el plugin Duplicate Page de WordPress (CVE-2021-24681)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Duplicate Page de WordPress versiones hasta 4.4.2 no sanea ni escapa de la configuración de Duplicate Post Suffix antes de emitirla, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de Stored Cross-Site Scripting incluso cuando la capacidad unfiltered_html está deshabilitada
Vulnerabilidad en la configuración de Share Title en el plugin Simple Social Media Share Buttons de WordPress (CVE-2021-24656)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Simple Social Media Share Buttons de WordPress versiones anteriores a 3.2.4 no escapa a la configuración de Share Title antes de emitirla en las páginas o entradas del frontend (dependiendo de la configuración usada), permitiendo a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Vulnerabilidad en el plugin Coming soon y Maintenance mode de WordPress (CVE-2021-24577)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Coming soon y Maintenance mode de WordPress versiones anteriores a 3.5.3, no sanea correctamente las entradas enviadas por los usuarios autenticados cuando se configuran añadiendo o modificando las páginas coming soon o maintenance mode, conllevando a un ataque de tipo XSS almacenado
Vulnerabilidad en el formulario en el plugin Frontend Uploader de WordPress (CVE-2021-24563)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Frontend Uploader de WordPress versiones hasta 1.3.2, no evita que se suban archivos HTML por medio de su formulario, lo que permite que un usuario no autenticado suba un archivo HTML malicioso que contenga JavaScript, por ejemplo, que será desencadenado cuando alguien acceda al archivo directamente
Vulnerabilidad en la Lógica Condicional de los ajustes de Visibilidad Personalizada en el plugin Gutenberg Block Editor Toolkit â€" EditorsKit de WordPress (CVE-2021-24546)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin Gutenberg Block Editor Toolkit â€" EditorsKit de WordPress versiones anteriores a 1.31.6, no sanea y comprueba la Lógica Condicional de los ajustes de Visibilidad Personalizada, permitiendo a usuarios con un rol de colaborador bajo ejecutar código PHP Arbitrario
Vulnerabilidad en HTML en la Bio de los usuarios el plugin WP HTML Author Bio de WordPress (CVE-2021-24545)
Gravedad:
BajaBaja
Publication date: 11/10/2021
Last modified:
15/10/2021
Descripción:
El plugin WP HTML Author Bio de WordPress versiones hasta 1.2.0, no sanea el HTML permitido en la Bio de los usuarios, permitiendo que estos usen código JavaScript malicioso, que será ejecutado cuando alguien visite un post en el frontend realizado por dicho usuario. Como resultado, un usuario con un rol tan bajo como el de autor podría llevar a cabo ataques de tipo Cross-Site Scripting contra usuarios, lo que potencialmente podría llevar a una escalada de privilegios cuando un administrador vea el/los post/s relacionados

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los mensajes relacionados con el mes en MediaWiki (CVE-2021-41798)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
26/11/2021
Descripción:
MediaWiki versiones anteriores a 1.36.2, permite una vulnerabilidad de tipo XSS. Los mensajes de MediaWiki relacionados con el mes no se escapan antes de ser usados en la página de resultados Special:Search