Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Themesflat Addons For Elementor <= 2.1.1
El plugin Themesflat Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado en varios widgets a través de parámetros URL en todas las versiones hasta, e incluyendo, la 2.1.1 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de colaborador y superior, inyectar scripts…
-
Vulnerabilidad de Cross-Site Scripting en Themesflat Addons For Elementor <= 2.1.1
El plugin Themesflat Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de etiquetas de widgets en todas las versiones hasta, e incluyendo, la 2.1.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor…
-
Vulnerabilidad en Materialis Companion <= 1.3.41 – Cross-Site Scripting por Authenticated (Contributor+)
El plugin Materialis Companion para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del shortcode materialis_contact_form en todas las versiones hasta, e incluyendo, la 1.3.41 debido a una sanitización insuficiente de la entrada y escapado de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
SellKit – Vulnerabilidad de Scripting entre Sitios Almacenada (Cross-Site Scripting) mediante el Parámetro ‘id’
El plugin SellKit – Funnel builder and checkout optimizer for WooCommerce to sell more, faster para WordPress es vulnerable a ataques de Scripting entre Sitios Almacenada a través del parámetro ‘id’ en todas las versiones hasta 1.9.8. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de la salida, lo que…
-
Vulnerabilidad en WP-Recall – Eliminación de Pagos no Autenticada a través de delete_payment
El plugin WP-Recall – Registro, Perfil, Comercio y Más para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘delete_payment’ en todas las versiones hasta, e incluyendo, la 16.26.6. Esto permite a atacantes no autenticados eliminar pagos arbitrarios. Los usuarios afectados por esta…
-
BuddyPress Members Only <= 3.3.5 – Control de Acceso Inadecuado a la Exposición de Información Sensible a través de la API REST
El plugin BuddyPress Members Only para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.3.5 a través de la API REST. Esto hace posible que atacantes no autenticados puedan evadir la función del plugin ‘Todas las demás secciones de su sitio estarán abiertas a los invitados’…
-
Vulnerabilidad en plugin Countdown, Coming Soon, Maintenance – Countdown & Clock <= 2.7.8 por Inyección de Objetos PHP sin Autorización
El plugin de WordPress Countdown, Coming Soon, Maintenance – Countdown & Clock es vulnerable a accesos no autorizados debido a la falta de un chequeo de capacidades en las funciones conditionsRow y switchCountdown en todas las versiones hasta, e incluyendo, la 2.7.8. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, inyecten…