Ultimas Noticias
-
Elementor Addon Elements <= 1.13.6 – XSS almacenado autenticado (Contribuidor+) a través de varios widgets
La vulnerabilidad CVE-2024-7122 en el complemento Elementor Addon Elements para WordPress permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios widgets. Esto puede comprometer la seguridad de los usuarios al permitir la ejecución de scripts web maliciosos en páginas específicas. El complemento Elementor Addon Elements para WordPress es vulnerable a…
-
Tourfic <= 2.11.20 – Vulnerabilidad de Cross-Site Request Forgery en Múltiples Funciones
El plugin Tourfic para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.11.20. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce en las funciones tf_order_status_email_resend_function, tf_visitor_details_edit_function, tf_checkinout_details_edit_function, tf_order_status_edit_function, tf_order_bulk_action_edit_function, tf_remove_room_order_ids y tf_delete_old_review_fields. Esto permite a atacantes no autenticados reenviar correos electrónicos de estado de…
-
The Events Calendar Pro <= 7.0.2 – Inyección de Objetos PHP Autenticados (Administrador+) a Ejecución Remota de Código
La vulnerabilidad de inyección de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a través de la deserialización de datos no seguros del parámetro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto…
-
Betheme <= 27.5.6 – Inyección de Objeto PHP Autenticada (Contribuidor+)
La vulnerabilidad de deserialización de datos no seguros en el tema Betheme para WordPress en todas las versiones hasta, e incluyendo, la 27.5.6 permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar un Objeto PHP a través de la deserialización de la entrada no segura del valor ‘mfn-page-items’ en la meta del…
-
Betheme | Tema de WordPress Multipropósito y WooCommerce <= 27.5.6 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Shortcode
El tema Betheme para WordPress es vulnerable a Cross-Site Scripting almacenado a través de varios shortcodes del plugin en todas las versiones hasta, e incluyendo, la 27.5.6 debido a una sanitización insuficiente de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Tutor LMS Pro <= 2.7.2 – Falta de Autorización para Usuarios Autenticados (Suscriptor+) Referencia Directa de Objetos Insegura
El plugin Tutor LMS Pro para WordPress es vulnerable a la ejecución de acciones administrativas no autorizadas debido a la falta de verificación de capacidades en múltiples funciones como treport_quiz_atttempt_delete y tutor_gc_class_action en todas las versiones hasta, e incluyendo, la 2.7.2. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, realicen acciones…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Elementor Addon Elements <= 1.13.5
La vulnerabilidad en el plugin Elementor Addon Elements para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘id’ y ‘eae_slider_animation’ en todas las versiones hasta la 1.13.5 debido a una sanitización insuficiente de la…