Ultimas Noticias
-
WP All Import Pro <= 4.9.7 – Cross-Site Scripting a través de la carga de archivos SVG con autenticación (Administrador+)
El plugin Import any XML or CSV File to WordPress PRO para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 4.9.7 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Inyección SQL en el Plugin The Ultimate WordPress Toolkit – WP Extended <= 3.0.12 a través del Módulo de Intentos de Inicio de Sesión
El plugin The Ultimate WordPress Toolkit – WP Extended para WordPress es vulnerable a una Inyección SQL basada en el tiempo a través del módulo de Intentos de Inicio de Sesión en todas las versiones hasta, e incluyendo, la 3.0.12 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la…
-
Vulnerabilidad CVE-2024-13385 en plugin JSM Screenshot Machine Shortcode <= 2.3.0 – XSS almacenado autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-13385 en el plugin JSM Screenshot Machine Shortcode para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. El plugin JSM Screenshot Machine Shortcode para WordPress es vulnerable a XSS almacenado a través del…
-
Vulnerabilidad de Cross-Site Scripting en el plugin MicroPayments – Fans Paysite para WordPress
Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin MicroPayments – Fans Paysite para WordPress que afecta a todas las versiones hasta la 2.9.29. Esta falla de seguridad podría permitir a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad se encuentra en…
-
Adifier System <= 3.1.7 – Restablecimiento de contraseña arbitrario no autenticado
El plugin del Sistema Adifier para WordPress es vulnerable a la escalada de privilegios a través de la toma de control de cuentas en todas las versiones hasta, e incluyendo, la 3.1.7. Esto se debe a que el plugin no valida adecuadamente la identidad de un usuario antes de actualizar sus detalles como la contraseña…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Video Share VOD – Turnkey Video Site Builder Script <= 2.6.31
La vulnerabilidad conocida como CVE-2024-13393 afecta al plugin Video Share VOD – Turnkey Video Site Builder Script para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. El plugin Video Share VOD – Turnkey Video Site Builder Script para WordPress es vulnerable a Cross-Site Scripting…
-
Vulnerabilidad CSRF en ShipWorks Connector for Woocommerce <= 5.2.5
La vulnerabilidad Cross-Site Request Forgery (CSRF) en el plugin ShipWorks Connector for Woocommerce para WordPress afecta a todas las versiones hasta la 5.2.5. Esta vulnerabilidad se debe a la falta de validación de nonce o a una validación incorrecta en la página ‘shipworks-wordpress’. Esto permite a atacantes no autenticados actualizar el nombre de usuario y…