Ultimas Noticias
-
Icegram Express <= 5.7.22 – Vulnerabilidad de Inyección SQL Autenticada (Subscriber+) a través de options[list_id]
El plugin Icegram Express para WordPress es vulnerable a Inyección SQL a través del parámetro ‘options[list_id]’ en todas las versiones hasta la 5.7.22 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso a…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Addon Elements <= 1.13.3 a través del Widget de Twitter
La vulnerabilidad CVE-2024-2092 permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts maliciosos en páginas web utilizando el Widget de Twitter del plugin Elementor Addon Elements. El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget de Twitter en todas las versiones hasta, e…
-
Descargar Gestor <= 3.2.92 – Cross-Site Scripting Almacenado Autenticado (Autor+) a través de Múltiples Shortcodes
El plugin Download Manager Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes wpdm_user_dashboard, wpdm_package, wpdm_packages, wpdm_search_result y wpdm_tag en todas las versiones hasta, e incluyendo, la 3.2.92 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes…
-
Plugin WordPress Header Builder Pearl <= 1.3.7 – Falta de Autorización para Eliminar Opciones de Sitio Arbitrarias sin Autenticación
El plugin WordPress Header Builder – Pearl para WordPress es vulnerable a la eliminación no autorizada de opciones de sitio debido a la falta de validación y comprobaciones de capacidad en la función stm_hb_delete() en todas las versiones hasta, e incluyendo, la 1.3.7. Esto permite a atacantes no autenticados eliminar opciones arbitrarias que pueden ser…
-
Custom Field Suite <= 2.6.7 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de cfs[post_content]
El plugin Custom Field Suite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘cfs[post_content]’ en las versiones hasta, e incluyendo, la 2.6.7 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.33
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados, con nivel de acceso de Contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda y edite un elemento inyectado, y posteriormente haga clic en el elemento con la rueda…
-
Dokan Pro <= 3.10.3 – Inyección SQL sin autenticación
El plugin Dokan Pro para WordPress es vulnerable a inyección SQL a través del parámetro ‘code’ en todas las versiones hasta, e incluyendo, la 3.10.3 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar…