Ultimas Noticias
-
Vulnerabilidad en WooCommerce Tools <= 1.2.9 – Autorización faltante para desactivación de módulos del plugin
El plugin WooCommerce Tools para WordPress es vulnerable a la modificación de datos no autorizada debido a la falta de una comprobación de capacidad en la función woocommerce_tool_toggle_module() en todas las versiones hasta, e incluyendo, la 1.2.9. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, desactiven módulos de plugin arbitrarios.…
-
Vulnerabilidad en Clever Fox – Importador de sitios web con un clic de Nayra Themes <= 25.2.0 – Falta de autorización para la activación arbitraria de temas a través de clever-fox-activate-theme
La vulnerabilidad identificada en el plugin Clever Fox – Importador de sitios web con un clic de Nayra Themes para WordPress permite a atacantes autenticados, con acceso de suscriptor o superior, modificar el tema activo de forma no autorizada, incluso a un valor inválido que puede hacer que el sitio web deje de funcionar. La…
-
Vulnerabilidad de Inyección SQL en Unlimited Elements For Elementor para WordPress
El plugin Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a una inyección SQL ciega a través del parámetro ‘data[addonID]’ en todas las versiones hasta, e incluyendo, 1.5.109. Esta vulnerabilidad se debe a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en…
-
Qi Blocks <= 1.2.9 – Cross-Site Scripting Almacenado Autenticado (Autor+)
El plugin Qi Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del cargador de archivos del plugin en todas las versiones hasta, e incluyendo, la 1.2.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar…
-
Vulnerabilidad de Missing Authorization en plugin Login/Signup Popup para WordPress
La vulnerabilidad de Missing Authorization en el plugin Login/Signup Popup (Inline Form + Woocommerce) para WordPress pone en riesgo la seguridad de los sitios que lo utilizan. En las versiones 2.7.1 a 2.7.2, se ha detectado un problema de acceso no autorizado a datos sensibles. El plugin Login/Signup Popup para WordPress es vulnerable a un…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Magical Addons For Elementor <= 1.1.39
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Magical Addons For Elementor para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. A través del parámetro ‘_id’, los atacantes autenticados pueden inyectar scripts web arbitrarios en las páginas, lo que puede llevar a la ejecución de acciones maliciosas cuando…
-
Vulnerabilidad de Cross-Site Scripting en ElementsReady Addons for Elementor <= 6.1.0 (Autenticado como Contributor+)
La vulnerabilidad CVE-2024-5152 afecta al plugin ElementsReady Addons for Elementor en versiones hasta la 6.1.0, permitiendo a atacantes autenticados con nivel de acceso Contributor o superior inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting almacenado se produce a través del parámetro ‘_id’ debido a una sanitización insuficiente de la entrada y a…