Ultimas Noticias
-
Vulnerabilidad en WPGlobus Translate Options <= 2.2.0 – Cross-Site Request Forgery a Cross-Site Scripting Almacenado
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WPGlobus Translate Options para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.2.0. Esta vulnerabilidad se debe a la falta de validación de tokens nonce en la función on__translate_options_page(), lo que permite a atacantes no autenticados inyectar scripts web maliciosos y actualizar la…
-
Vulnerabilidad en Get Quote For Woocommerce – Request A Quote For Woocommerce <= 1.0.0 que permite Acceso no Autorizado a Descarga de Documentos
El plugin Get Quote For Woocommerce – Request A Quote For Woocommerce para WordPress es vulnerable a accesos no autorizados a datos de Cotización debido a la falta de una verificación de capacidad en la función ct_tepfw_wp_loaded en todas las versiones hasta, e incluyendo, la 1.0.0. Esto permite que atacantes no autenticados descarguen documentos PDF…
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Simple Anchors Links <= 1.0.0
El plugin de WordPress WP Simple Anchors Links es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpanchor del plugin en todas las versiones hasta, e incluyendo, 1.0.0 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting en Gift Cards (Gift Vouchers and Packages) (compatible con WooCommerce) <= 4.4.4 – Autenticado (Autor+) Stored Cross-Site Scripting a través de la carga de archivos SVG
El plugin de WordPress Gift Cards (Gift Vouchers and Packages) (compatible con WooCommerce) es vulnerable a Stored Cross-Site Scripting a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 4.4.4 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso…
-
Vulnerabilidad de Subida de Archivos en AI Power: Complete AI Pack <= 1.8.89 – Sin Autenticación
La vulnerabilidad en el plugin AI Power: Complete AI Pack para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ‘handle_image_upload’ en todas las versiones hasta, e incluyendo, la 1.8.89. Esto permite que atacantes sin autenticación suban archivos arbitrarios en el servidor del sitio…
-
Vulnerabilidad de Referencia Directa a Objeto Insegura en Forminator Forms de WordPress
La vulnerabilidad CVE-2024-9700 en el plugin Forminator Forms de WordPress permite a atacantes no autenticados modificar envíos de cuestionarios de otros usuarios, debido a la falta de validación en la clave ‘entry_id’. El plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a Referencia Directa a Objeto Insegura…
-
Vulnerabilidad de Cross-Site Scripting en Easy SVG Upload <= 1.0
El plugin Easy SVG Upload para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de Autor y superior, inyectar scripts web…