CVE-2022-29414 – WordPress Subscribe To Comments Reloaded plugin <= 211130 - Multiple Cross-Site Request Forgery (CSRF) vulnerabilities
https://notcve.org/view.php?id=CVE-2022-29414
Multiple (13x) Cross-Site Request Forgery (CSRF) vulnerabilities in WPKube's Subscribe To Comments Reloaded plugin <= 211130 on WordPress allows attackers to clean up Log archive, download system info file, plugin system settings, plugin options settings, generate a new key, reset all options, change notifications settings, management page settings, comment form settings, manage subscriptions > mass update settings, manage subscriptions > add a new subscription, update subscription, delete Subscription. Múltiples (13x) vulnerabilidades de tipo Cross-Site Request Forgery (CSRF) en el plugin Subscribe To Comments Reloaded de WPKube versiones anteriores a 211130 incluyéndola en WordPress, permite a atacantes limpiar el archivo de registro, descargar el archivo de información del sistema, la configuración del sistema del plugin, la configuración de las opciones del plugin, generar una nueva clave, restablecer todas las opciones, cambiar la configuración de las notificaciones, la configuración de la página de administración, la configuración del formulario de comentarios, administrar las suscripciones ) configuración de actualización masiva, administrar las suscripciones ) añadir una nueva suscripción, actualizar la suscripción, eliminar la suscripción • https://patchstack.com/database/vulnerability/subscribe-to-comments-reloaded/wordpress-subscribe-to-comments-reloaded-plugin-211130-multiple-cross-site-request-forgery-csrf-vulnerabilities https://wordpress.org/plugins/subscribe-to-comments-reloaded • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2014-2274 – Subscribe To Comments Reloaded <= 140129 - Cross-Site Request Forgery to Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2014-2274
Cross-site request forgery (CSRF) vulnerability in the Subscribe To Comments Reloaded plugin before 140219 for WordPress allows remote attackers to hijack the authentication of administrators for requests that conduct cross-site scripting (XSS) attacks via a request to the subscribe-to-comments-reloaded/options/index.php page to wp-admin/admin.php. Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Subscribe To Comments Reloaded, en versiones anteriores a la 140219 para Wordpress, permite que atacantes remotos secuestren la autenticación de administradores para peticiones que llevan a cabo ataques de Cross-Site Scripting (XSS) mediante una petición a la página subscribe-to-comments-reloaded/options/index.php en wp-admin/admin.php. • https://security.dxw.com/advisories/stored-xss-and-csrf-vulnerabilities-in-subscribe-to-comments-reloaded-140129 https://wordpress.org/plugins/subscribe-to-comments-reloaded/#developers • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-352: Cross-Site Request Forgery (CSRF) •