Ultimas Noticias
-
WPC Smart Messages for WooCommerce <= 4.2.1 – Falta de Autorización para Activar/Desactivar Mensajes
La vulnerabilidad CVE-2024-10437 en el plugin WPC Smart Messages for WooCommerce permite a atacantes autenticados con acceso de Suscriptor o superior activar o desactivar mensajes inteligentes de forma no autorizada. El plugin WPC Smart Messages for WooCommerce en versiones hasta la 4.2.1 carece de una verificación de capacidades en la función ajax_enable, lo que facilita…
-
Vulnerabilidad de Inclusión de Archivos Locales en WPC Smart Messages for WooCommerce <= 4.2.1
La vulnerabilidad de inclusión de archivos locales en el plugin WPC Smart Messages for WooCommerce para WordPress permite a atacantes autenticados con acceso de nivel Subscriber y superior incluir y ejecutar archivos arbitrarios en el servidor, lo que puede conducir a la ejecución de código malicioso. El plugin WPC Smart Messages for WooCommerce tiene una…
-
Kata Plus – Addons for Elementor – Widgets, Extensions and Templates <= 1.4.7 – Cross-Site Scripting a través de la carga de archivos SVG (Autenticado)
El plugin Kata Plus – Addons for Elementor – Widgets, Extensions and Templates para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.4.7 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting almacenada en affiliate-toolkit <= 3.6.5 mediante el shortcode atkp_product (Contribuidor+) Autenticado
La vulnerabilidad CVE-2024-10227 afecta al plugin affiliate-toolkit para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad de Cross-Site Scripting almacenada en affiliate-toolkit <= 3.6.5 se debe a una insuficiente sanitización de entradas y escape de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Post Status Notifier Lite y Premium
El plugin Post Status Notifier Lite y Premium para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 1.11.6 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Vulnerabilidad de XSS Reflejado en SEUR Oficial <= 2.2.11
El plugin SEUR Oficial para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘change_service’ en todas las versiones hasta la 2.2.11 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un…
-
Vulnerabilidad en Exclusive Addons for Elementor <= 2.7.4 expone Información Sensible a Usuarios no Autorizados
El plugin Exclusive Addons for Elementor para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.7.4 a través de la función de renderizado en elements/tabs/tabs.php. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, extraer datos sensibles de plantillas privadas, pendientes y borrador.…