Ultimas Noticias
-
Code Explorer <= 1.4.5 – Lectura de Archivos Externos Autenticada (Admin+)
El plugin Code Explorer para WordPress es vulnerable a la lectura arbitraria de archivos externos en todas las versiones hasta, e incluyendo, la 1.4.5. Esto se debe a que el plugin no restringe el acceso a archivos fuera de la instancia de WordPress, a pesar de que la intención del plugin es solo acceder a…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin WP Baidu Map <= 1.2.2
El plugin WP Baidu Map para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘baidu_map’ en todas las versiones hasta 1.2.2. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de…
-
Ultimate TinyMCE <= 5.7 – Cross-Site Scripting almacenado para usuarios autenticados (Contribuidores+)
El plugin Ultimate TinyMCE para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘field’ en todas las versiones hasta, e incluyendo, la 5.7 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de Contribuidor o superior, inyecten scripts web arbitrarios en páginas que…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Widget or Sidebar Shortcode <= 0.6.1
La vulnerabilidad CVE-2024-9885 en el plugin Widget or Sidebar Shortcode para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Widget or Sidebar Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sidebar’ en todas las versiones hasta, e incluyendo, la 0.6.1 debido a la insuficiente saneamiento…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Subscribe to Comments <= 2.3
La vulnerabilidad CVE-2024-8792 afecta al plugin Subscribe to Comments para WordPress, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting en el plugin Subscribe to Comments se debe…
-
T(-) Countdown <= 2.4.8 – XSS almacenado autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-9884 en el plugin T(-) Countdown para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas, lo que puede resultar en ataques de Cross-Site Scripting (XSS) almacenado. El plugin T(-) Countdown para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tminus’ en…
-
Habilitar Shortcodes en Widgets, Comentarios y Expertos <= 1.0.0 – Ejecución Arbitraria de Shortcode sin Autenticación
El plugin Enable Shortcodes inside Widgets, Comments and Experts para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 1.0.0. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible…