Ultimas Noticias
-
Vulnerabilidad de WPAdverts – Plugin de Clasificados <= 2.1.7 – Cross-Site Scripting Reflejado
El plugin WPAdverts – Plugin de Clasificados para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la falta de escape en las URL en todas las versiones hasta, e incluyendo, la 2.1.7. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para…
-
Activity Log – Monitor & Record User Changes <= 2.11.1 – Vulnerabilidad de Cross-Site Scripting almacenado sin autenticación a través del contexto del evento
La vulnerabilidad CVE-2024-10788 afecta al plugin de WordPress Activity Log – Monitor & Record User Changes en versiones anteriores a 2.11.1, permitiendo a atacantes no autenticados inyectar scripts web maliciosos que se ejecutarán cuando un usuario administrativo acceda a una página comprometida. La falta de sanitización adecuada de la entrada y escape de la salida…
-
My Contador lesr <= 2.0 – Falta de Autorización para Exportar CSV de Registro de Usuarios a Usuarios No Autenticados
El plugin My Contador lesr para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de verificación de capacidad en la función exportar_registros() en todas las versiones hasta, e incluyendo, la 2.0. Esto permite a atacantes no autenticados exportar datos de usuario. Los usuarios afectados por esta vulnerabilidad deben actualizar de…
-
F4 Improvements <= 1.9.0 – XSS almacenado autenticado (Autor+) a través de carga de archivos SVG
El complemento F4 Improvements para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.9.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios…
-
Grid View Gallery <= 1.0 – Inyección de Objetos PHP Autenticada (Editor+)
El plugin Grid View Gallery para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.0 a través de la deserialización de datos no seguros del parámetro cs_all_photos_details. Esto permite a atacantes autenticados, con acceso de nivel Editor y superior, inyectar un Objeto PHP. No se conoce una…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Grey Owl Lightbox <= 1.6.1 para usuarios autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-11440 en el plugin Grey Owl Lightbox para WordPress permite a usuarios autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘gol_button’ del plugin en todas las versiones hasta, e incluyendo, la 1.6.1. El problema radica en la insuficiente sanitización de entrada y escapado de…
-
WIP Incoming Lite <= 1.1.1 – CSRF a XSS almacenado
El plugin WIP Incoming Lite para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.1.1. Esto se debe a la falta de validación de nonce incorrecta en la función save_option(). Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una…