Ultimas Noticias
-
Vulnerabilidad SQL Injection en Tutor LMS – Solución de eLearning y cursos online <= 2.7.1
Una vulnerabilidad de Inyección SQL basada en el tiempo en el plugin Tutor LMS – Solución de eLearning y cursos online para WordPress pone en riesgo la seguridad del sitio. Esta vulnerabilidad, identificada con el ID CVE-2024-4902, permite a atacantes autenticados con acceso de administrador y superior, insertar consultas SQL adicionales en las consultas existentes…
-
Vulnerabilidad de Cross-Site Scripting en Combo Blocks para WordPress
El plugin Combo Blocks para WordPress hasta la versión 2.2.80 presenta una vulnerabilidad de Cross-Site Scripting almacenado que podría ser explotada por atacantes autenticados para inyectar scripts maliciosos en páginas del sitio web. Combo Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘tag’ en bloques en todas las versiones hasta…
-
Vulnerabilidad de Cross-Site Scripting en WP Mobile Menu
La vulnerabilidad CVE-2024-3987 fue descubierta en el plugin WP Mobile Menu – The Mobile-Friendly Responsive Menu para WordPress. Esta vulnerabilidad de Cross-Site Scripting (XSS) permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en las páginas del sitio. La vulnerabilidad radica en la falta de sanitización de la entrada de…
-
Vulnerabilidad de XSS almacenado en WP jQuery Lightbox <= 1.5.4 – Cross-Site Scripting autenticado (Contribuidor+) a través del atributo de título
La vulnerabilidad CVE-2024-5425 afecta al plugin WP jQuery Lightbox para WordPress, permitiendo a atacantes autenticados con nivel de acceso de Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. La versión 1.5.4 y anteriores del plugin WP jQuery Lightbox no realizan una sanitización suficiente de…
-
Qi Addons For Elementor <= 1.7.2 – Inclusión Local de Archivos Autenticada (Colaborador+)
El complemento Qi Addons For Elementor para WordPress es vulnerable a Inclusión de Archivos Remotos en todas las versiones hasta, e incluyendo, la 1.7.2 a través de los atributos ‘behavior’ encontrados en el shortcode qi_addons_for_elementor_blog_list. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, incluir archivos remotos en el servidor, lo que…
-
Clever Fox <= 25.2.0 – Cross-Site Scripting Almacenado autenticado (Contribuidor+)
El plugin Clever Fox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque de información del plugin en todas las versiones hasta, e incluyendo, 25.2.0 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor…
-
Vulnerabilidad en el Plugin GDPR CCPA Compliance & Cookie Consent Banner <= 2.7.0
El plugin GDPR CCPA Compliance & Cookie Consent Banner para WordPress presenta una vulnerabilidad que permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en varias funciones llamadas ajaxUpdateSettings() en todas las versiones hasta, e incluyendo, la 2.7.0. Esto posibilita a atacantes autenticados, con acceso de nivel Suscriptor…