Ultimas Noticias
-
Vulnerabilidad de Inclusión Local de Archivos en Cowidgets – Elementor Addons <= 1.1.1 (Autenticado (Contribuidor+))
La vulnerabilidad CVE-2024-5179, denominada ‘Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)’, afecta al plugin Cowidgets – Elementor Addons para WordPress en versiones hasta la 1.1.1. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que podría llevar a…
-
Vulnerabilidad de XSS en EasyAzon – Plugin de Afiliados de Amazon Associates <= 5.1.0 a través de easyazon-cloaking-locale
La vulnerabilidad CVE-2023-6956 en el plugin EasyAzon para WordPress permite a atacantes no autenticados realizar ataques de XSS a través del parámetro ‘easyazon-cloaking-locale’ en versiones hasta la 5.1.0. Esto se debe a una insuficiente sanitización de entrada y escape de la misma. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin EasyAzon a la…
-
Vulnerabilidad en Album and Image Gallery plus Lightbox <= 2.0 permite Ejecución Arbitraria de Shortcode sin Autenticación
El plugin Album and Image Gallery plus Lightbox para WordPress es vulnerable a la ejecución arbitraria de shortcode en todas las versiones hasta, e incluyendo, la 2.0. Esta vulnerabilidad se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible…
-
The Moneytizer <= 9.5.20 – Falta de autorización a través de múltiples acciones AJAX
La vulnerabilidad de Acceso Incorrecto del complemento The Moneytizer para WordPress permite el acceso no autorizado a datos, modificación de datos y pérdida de datos debido a la falta de comprobación de capacidades en múltiples funciones AJAX en el archivo /core/core_ajax.php en todas las versiones hasta, e incluyendo, la 9.5.20. Esto permite que atacantes autenticados,…
-
The Moneytizer <= 9.5.20 – Vulnerabilidad de Cross-Site Request Forgery a través de múltiples acciones AJAX
El complemento The Moneytizer para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 9.5.20. Esto se debe a la falta o validación incorrecta de nonce en múltiples funciones AJAX. Esto hace posible que atacantes no autenticados actualicen y recuperen detalles de facturación y bancarios, actualicen y restablezcan la…
-
Boostify Header Footer Builder para Elementor <= 1.3.3 – Falta de Autorización para Crear Páginas/Entradas
La vulnerabilidad CVE-2024-4788, también conocida como Missing Authorization, afecta al plugin Boostify Header Footer Builder para Elementor en versiones anteriores o iguales a la 1.3.3. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de suscriptor o superior, crear páginas o entradas con contenido arbitrario. El problema radica en la falta de una verificación…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Easy Social Like Box – Popup – Sidebar Widget <= 4.0
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Easy Social Like Box – Popup – Sidebar Widget para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas del sitio web. La vulnerabilidad se encuentra en el shortcode ‘cardoza_facebook_like_box’ del plugin en todas las versiones hasta la 4.0 debido a la insuficiente sanitización…