Vulnerabilidad crítica en UpdraftPlus afecta a sitios WordPress
Se ha identificado una vulnerabilidad crítica en el plugin UpdraftPlus Backup & Migration, utilizado por más de 3 millones de sitios WordPress. Esta falla permite a atacantes no autenticados aprovechar un error de deserialización de entradas no confiables. Aunque la vulnerabilidad por sí sola no incluye una cadena de explotación directa, podría combinarse con otras vulnerabilidades en plugins o temas para permitir la ejecución de código arbitrario, el acceso a datos sensibles o incluso la eliminación de archivos importantes. El equipo de UpdraftPlus ya ha lanzado una actualización que corrige esta vulnerabilidad. . Productos y versiones afectadas: . Solución: ….
Vulnerabilidades Críticas en Plugins de WordPress: WP Travel Engine y WooCommerce POS
WordPress, una de las plataformas de gestión de contenidos más populares, ha registrado recientemente vulnerabilidades críticas en algunos de sus complementos más utilizados. Estas fallas pueden comprometer la seguridad de los sitios web, permitiendo a atacantes tomar control de cuentas críticas o ejecutar código malicioso. A continuación, presentamos un resumen de las vulnerabilidades identificadas: Producto afectado Versión afectada Solución WooCommerce Point of Sale Versiones anteriores a la 6.1.0. Actualizar a la versión 6.2.0 o posterior. WP Travel Engine – Elementor Widgets Versiones anteriores a la 1.3.7. Actualizar a la versión 1.3.8 o posterior. Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wte-elementor-widgets/wp-travel-engine-elementor-widgets-create-travel-booking-website-using-wordpress-and-elementor-137-authenticated-contributor-local-file-inclusion https://www.cvefind.com/en/cve/CVE-2024-12272.html https://www.cve.org/CVERecord?id=CVE-2024-12272 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11281 https://www.cvefind.com/en/cve/CVE-2024-11281.html https://www.cve.org/CVERecord?id=CVE-2024-11281
Vulnerabilidad crítica en Apache Traffic Control
Apache Traffic Control, una solución de código abierto de Apache Software Foundation diseñado para gestionar y operar redes de distribución de contenido (CDN), ha identificado una vulnerabilidad crítica en su sistema. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr https://www.cvefind.com/en/cve/CVE-2024-45387.html https://www.cve.org/CVERecord?id=CVE-2024-45387
Vulnerabilidad crítica en el tema AdForest para WordPress
El tema AdForest para WordPress, utilizado principalmente para la creación de sitios de clasificados, presenta una vulnerabilidad crítica identificada como CVE-2024-11349. Esta vulnerabilidad permite una omisión de autenticación, lo que podría ser explotado por atacantes no autenticados para obtener acceso a cuentas privilegiadas dentro del sitio afectado. Si se explota con éxito, un atacante podría tomar control total del sitio, incluyendo la capacidad de modificar contenido, acceder a datos confidenciales y ejecutar acciones maliciosas. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/adforest/adforest-516-authentication-bypass https://www.cvefind.com/en/cve/CVE-2024-11349.html https://www.cve.org/CVERecord?id=CVE-2024-11349
Nueva vulnerabilidad en el plugin eCommerce Product Catalog para WordPress
El plugin eCommerce Product Catalog para WordPress, ampliamente utilizado para la gestión y presentación de catálogos de productos en sitios web, presenta una vulnerabilidad identificada como CVE-2024-12771, la cual permite la explotación de un Cross-Site Request Forgery (CSRF) que puede desencadenar un restablecimiento de contraseña no autorizado del administrador. Si se explota con éxito, un atacante podría secuestrar la cuenta del administrador y tomar control total del sitio web afectado. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ecommerce-product-catalog/ecommerce-product-catalog-plugin-for-wordpress-3343-cross-site-request-forgery-to-password-reset https://www.cvefind.com/en/cve/CVE-2024-12771.html https://www.cve.org/CVERecord?id=CVE-2024-12771
Vulnerabilidad “Missing Authorization” en el plugin Accessibility by AllAccessible para WordPress
WordPress es uno de los sistemas de gestión de contenidos más utilizados en el mundo, conocido por su flexibilidad y facilidad de uso. El plugin Accessibility by AllAccessible para WordPress está diseñado para facilitar la accesibilidad web, permitiendo a los administradores gestionar configuraciones enfocadas en este aspecto. Sin embargo, se ha identificado una vulnerabilidad que expone a los sitios web a posibles ataques de escalamiento de privilegios. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad en el plugin Advanced File Manager de WordPress permite carga arbitraria de archivos
Se ha identificado una vulnerabilidad en el plugin Advanced File Manager para WordPress, ampliamente utilizado para gestionar archivos desde el panel de administración. Este problema podría permitir a atacantes autenticados cargar archivos maliciosos en los servidores afectados, lo que representa un riesgo de ejecución remota de código si el atacante cuenta con permisos otorgados por un administrador. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad en AnyDesk expone direcciones IP de usuarios
AnyDesk, uno de los programas de escritorio remoto más utilizados, presenta una vulnerabilidad recientemente descubierta que pone en riesgo la privacidad de los usuarios al permitir que atacantes obtengan direcciones IP. Esta vulnerabilidad ha sido identificada y publicada por el investigador de seguridad Ebrahim Shafiei. Actualmente, AnyDesk no ha lanzado una solución oficial, por lo que se recomienda a los usuarios deshabilitar la función “Allow Direct Connections” como medida temporal. Productos y versiones afectadas: Mitigación: Recomendaciones: Referencias:
Vulnerabilidad crítica en los complementos Really Simple Security para WordPress
WordPress es un sistema de gestión de contenidos ampliamente utilizado para la creación y administración de sitios web. La plataforma cuenta con diversos complementos que amplían sus funcionalidades, como los desarrollados por Really Simple Plugins. Recientemente, se identificó una vulnerabilidad en los complementos Really Simple Security en sus versiones Free, Pro y Pro Multisite, que podría comprometer la seguridad de los sitios web afectados. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad en Oracle Agile PLM permite acceso no autorizado a datos sensibles
Oracle ha emitido una alerta de seguridad urgente relacionada con una vulnerabilidad en su software Agile Product Lifecycle Management (PLM), identificada como CVE-2024-21287. Este fallo permite a los atacantes acceder de forma remota a archivos sensibles sin autenticación, lo que podría exponer diseños de productos confidenciales, propiedad intelectual y otra información crítica para el negocio. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: