Ultimas Noticias
-
CoDesigner WooCommerce Builder for Elementor – Cross-Site Scripting a través de varios widgets
El plugin CoDesigner WooCommerce Builder for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets Shop Slider, Tabs Classic y Image Comparison en todas las versiones hasta la 4.4.1. El problema radica en la falta de sanitización de entradas y escapado de salida en atributos suministrados por el usuario, lo…
-
Vulnerabilidad de Inyección SQL Autenticada en Slideshow Gallery LITE <= 1.8.1 (Contributor+)
El plugin Slideshow Gallery LITE para WordPress es vulnerable a inyección SQL basada en tiempo a través del parámetro id en todas las versiones hasta, e incluyendo, 1.8.1 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes…
-
BuddyPress <= 12.4.1 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Suscriptores+)
El plugin BuddyPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘display_name’ en versiones hasta, e incluyendo, 12.4.1 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite a atacantes autenticados, con permisos de nivel suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…
-
Vulnerabilidad de Cross-Site Scripting en Futurio Extra <= 2.0.5 a través del Widget Advanced Text Block
La vulnerabilidad CVE-2024-5646 afecta al plugin Futurio Extra para WordPress, permitiendo a atacantes autenticados con nivel de acceso Contributor o superior llevar a cabo ataques de Cross-Site Scripting almacenado a través del atributo ‘header_size’ del widget Advanced Text Block en versiones hasta 2.0.5. El problema radica en la falta de sanatización de la entrada y…
-
Vulnerabilidad de Cross-Site Scripting en Events Addon for Elementor <= 2.1.4
La vulnerabilidad CVE-2024-4669 afecta al plugin Events Addon for Elementor en WordPress y permite a atacantes autenticados realizar Cross-Site Scripting a través de los widgets Basic Slider, Upcoming Events, y Schedule en versiones anteriores a 2.1.4. La falta de sanitización de entrada y escape de salida en atributos proporcionados por el usuario hace posible que…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin WordPress Online Booking and Scheduling – Bookly <= 23.2
Se ha descubierto una vulnerabilidad en el plugin de WordPress Online Booking and Scheduling – Bookly que podría permitir a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado a través del parámetro de perfil de color. Esta vulnerabilidad afecta a todas las versiones hasta la 23.2 del plugin. El plugin WordPress Online Booking…
-
Ocean Extra <= 2.2.8 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través del widget de Flickr
El plugin Ocean Extra para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Flickr en todas las versiones hasta, e incluyendo, la 2.2.8 debido a una sanitización insuficiente de la entrada y a la falta de escape en la salida de atributos proporcionados por el usuario. Esto permite a atacantes autenticados,…