Ultimas Noticias
-
Download Manager <= 3.2.93 – Cross-Site Scripting a Través del Shortcode wpdm_modal_login_form
El plugin Download Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpdm_modal_login_form’ en todas las versiones hasta, e incluyendo, la 3.2.93 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por usuarios. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior,…
-
GamiPress – Link <= 1.1.4 – Cross-Site Scripting Almacenado (Contribuidor+) Autenticado
El plugin GamiPress – Link para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode gamipress_link en todas las versiones hasta, e incluyendo, la 1.1.4 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
LifterLMS – Plugin de WordPress para eLearning <= 7.6.2 – Inyección SQL Autenticada (Contributor+) mediante Shortcode
La vulnerabilidad CVE-2024-4743 afecta al plugin LifterLMS para WordPress, permitiendo a atacantes autenticados realizar Inyección SQL a través del atributo orderBy del shortcode lifterlms_favorites en versiones hasta 7.6.2. Esto podría resultar en la extracción de información sensible de la base de datos. La versión del plugin LifterLMS para eLearning hasta la 7.6.2 es vulnerable a…
-
Vulnerabilidad de XSS Reflejado en GP Premium <= 2.4.0
El plugin GP Premium para WordPress es vulnerable a XSS Reflejado a través del parámetro message en todas las versiones hasta, e incluyendo, la 2.4.0 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Vulnerabilidad XSS almacenada en el plugin WP Shortcodes Plugin – Shortcodes Ultimate <= 7.1.6
El plugin WP Shortcodes Plugin – Shortcodes Ultimate para WordPress es vulnerable a XSS almacenado a través del shortcode su_lightbox del plugin en todas las versiones hasta la 7.1.6 debido a una insuficiente sanitización de la entrada y escapado de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Mollie Forms <= 2.6.13 – Vulnerabilidad de Falsificación de Petición en Sitio Cruzado para Duplicación Arbitraria de Entradas
El complemento Mollie Forms para WordPress es vulnerable a Falsificación de Petición en Sitio Cruzado (CSRF) en todas las versiones hasta, e incluyendo, la 2.6.13. Esto se debe a la validación de nonce faltante o incorrecta en la función duplicateForm(). Esto hace posible que atacantes no autenticados dupliquen formularios a través de una solicitud falsificada…
-
Vulnerabilidad de Autorización Ausente en Gutenberg Blocks and Page Layouts – Attire Blocks <= 1.9.2
La vulnerabilidad de autorización ausente en el plugin Gutenberg Blocks and Page Layouts – Attire Blocks para WordPress permite a atacantes autenticados, con acceso de suscriptor o superior, modificar datos sin autorización. Esta vulnerabilidad se encuentra en todas las versiones hasta, e incluyendo, la 1.9.2, lo que posibilita a los atacantes cambiar la configuración del…