Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Simple Anchors Links <= 1.0.0
El plugin de WordPress WP Simple Anchors Links es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpanchor del plugin en todas las versiones hasta, e incluyendo, 1.0.0 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting en Gift Cards (Gift Vouchers and Packages) (compatible con WooCommerce) <= 4.4.4 – Autenticado (Autor+) Stored Cross-Site Scripting a través de la carga de archivos SVG
El plugin de WordPress Gift Cards (Gift Vouchers and Packages) (compatible con WooCommerce) es vulnerable a Stored Cross-Site Scripting a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 4.4.4 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso…
-
Vulnerabilidad de Subida de Archivos en AI Power: Complete AI Pack <= 1.8.89 – Sin Autenticación
La vulnerabilidad en el plugin AI Power: Complete AI Pack para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ‘handle_image_upload’ en todas las versiones hasta, e incluyendo, la 1.8.89. Esto permite que atacantes sin autenticación suban archivos arbitrarios en el servidor del sitio…
-
Vulnerabilidad de Referencia Directa a Objeto Insegura en Forminator Forms de WordPress
La vulnerabilidad CVE-2024-9700 en el plugin Forminator Forms de WordPress permite a atacantes no autenticados modificar envíos de cuestionarios de otros usuarios, debido a la falta de validación en la clave ‘entry_id’. El plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a Referencia Directa a Objeto Insegura…
-
Vulnerabilidad de Cross-Site Scripting en Easy SVG Upload <= 1.0
El plugin Easy SVG Upload para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de Autor y superior, inyectar scripts web…
-
Vulnerabilidad en Woo Manage Fraud Orders <= 6.1.7 – Exposición de Información no Autenticada a través de Archivos de Registro
El plugin Woo Manage Fraud Orders para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 6.1.7 a través de archivos de registro públicamente expuestos. Esto permite a atacantes no autenticados ver información potencialmente sensible sobre usuarios contenida en los archivos de registro expuestos. Los usuarios afectados…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Black Widgets For Elementor <= 1.3.7
El plugin Black Widgets For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.3.7 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar…