Ultimas Noticias
-
Slider Revolution <= 6.7.11 – Cross-Site Scripting (XSS) almacenado autenticado a través de los atributos class, id y title de Add Layer
El plugin Slider Revolution para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del widget Add Layer en todas las versiones hasta, e incluyendo, la 6.7.11 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos ‘class’, ‘id’ y ‘title’ proporcionados por el usuario. Esto permite a…
-
SureTriggers – Conecta todos tus plugins, aplicaciones, herramientas y automatiza todo! <= 1.0.46 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través del shortcode del enlace de activación
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin SureTriggers para WordPress puede ser explotada por atacantes autenticados para ejecutar scripts web maliciosos en páginas específicas. El plugin SureTriggers – Conecta todos tus plugins, aplicaciones, herramientas y automatiza todo! para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode del enlace de activación…
-
Gestor de Avisos de Administrador <= 1.4.0 – Autorización faltante para la recuperación de correos electrónicos de usuarios autenticados (Suscriptores+)
El plugin de WordPress Admin Notices Manager es vulnerable a un acceso no autorizado de datos debido a la falta de una verificación de capacidades en la función handle_ajax_call() en todas las versiones hasta, e incluyendo, la 1.4.0. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y más, puedan recuperar una…
-
Descarga de Adjuntos <= 1.3 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Download Attachments para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘download-attachments’ en todas las versiones hasta, e incluyendo, la 1.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Essential Real Estate <= 4.4.2 para usuarios autenticados (Contributor+)
El plugin Essential Real Estate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ere_property_map’ en todas las versiones hasta, e incluyendo, la 4.4.2 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad en Essential Real Estate <= 4.4.2 – Referencia de Objeto Directo Insegura para Borrar Adjuntos Arbitrarios
La vulnerabilidad CVE-2024-4274 permite a atacantes con acceso de nivel suscriptor o superior eliminar adjuntos arbitrarios en el plugin Essential Real Estate para WordPress. La función remove_property_attachment_ajax() en todas las versiones hasta la 4.4.2 no valida adecuadamente los permisos, lo que posibilita la eliminación no autorizada de datos. Para mitigar este problema, se recomienda a…
-
Vulnerabilidad en WPUpper Share Buttons <= 3.43 – Falta de Autorización
La vulnerabilidad encontrada en el plugin WPUpper Share Buttons para WordPress permite el acceso no autorizado a datos al preparar enlaces para compartir publicaciones y páginas en todas las versiones hasta, e incluyendo, la 3.43. Esto hace posible que atacantes no autenticados puedan obtener el contenido de publicaciones y páginas protegidas con contraseña. La falta…