Ultimas Noticias
-
Brizy – Page Builder <= 2.4.43 – XSS almacenado autenticado a través de atributos personalizados
La vulnerabilidad CVE-2024-1161 en el plugin Brizy – Page Builder para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web maliciosos en páginas, lo que puede comprometer la seguridad del sitio. El plugin Brizy – Page Builder hasta la versión 2.4.43 sufre de un XSS almacenado debido a la falta…
-
Brizy – Page Builder <= 2.4.43 – XSS a través de Widget Link To URL para usuarios autenticados (Contributor+)
En este reporte de seguridad se detalla una vulnerabilidad encontrada en Brizy – Page Builder versión 2.4.43 o anterior que permite a usuarios autenticados con roles de Contributor+ ejecutar ataques de Cross-Site Scripting (XSS) a través del widget Link To URL. La vulnerabilidad CVE-2024-3667 permite a un usuario autenticado con roles de Contributor+ insertar código…
-
Brizy – Page Builder <= 2.4.43 – Cross-Site Scripting sin autenticación a través de Formulario
El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los valores de nombres de formularios en todas las versiones hasta, e incluyendo, la 2.4.43 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas…
-
BuddyForms <= 2.8.9 – Fallo en la Verificación de Email debido a Insuficiente Aleatoriedad
El plugin BuddyForms para WordPress es vulnerable a la omisión de verificación de email en todas las versiones hasta, e incluyendo, 2.8.9 debido al uso de un código de activación con insuficiente aleatoriedad. Esto permite a atacantes no autenticados evitar la verificación de email. El uso de códigos de activación generados de forma insuficientemente aleatoria…
-
LearnPress – Plugin de WordPress LMS <= 4.2.6.8 – Divulgación Básica de Información a través de la API JSON
El plugin LearnPress – WordPress LMS para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 4.2.6.8 debido a una implementación incorrecta de la función get_items_permissions_check. Esto permite que atacantes no autenticados extraigan información básica sobre los usuarios del sitio web, incluidos sus correos electrónicos. Los usuarios…
-
Vulnerabilidad en Newsletter <= 8.3.4 – Cross-Site Scripting almacenado sin autenticación a través de np1
La vulnerabilidad CVE-2024-5317, conocida como Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta al plugin Newsletter para WordPress en versiones hasta 8.3.4. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario accede a una página infectada. Los usuarios afectados por esta vulnerabilidad deben…
-
Vulnerabilidad de Slider Revolution <= 6.7.10 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Elementor wrapperid y zindex
La vulnerabilidad CVE-2024-4637 afecta al plugin Slider Revolution para WordPress en versiones hasta la 6.7.10, permitiendo a atacantes autenticados con acceso de nivel contributor o superior inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad de Cross-Site Scripting almacenado en Slider Revolution se debe a la falta de sanitización de entrada y escape de…