Ultimas Noticias
-
Vulnerabilidad de ID-SK Toolkit <= 1.7.2 – Cross-Site Scripting almacenado autenticado (Autor+) mediante la carga de archivos SVG
La vulnerabilidad de Cross-Site Scripting almacenado en la versión 1.7.2 y anteriores del plugin ID-SK Toolkit para WordPress permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG. La falta de saneamiento de entrada y escape de salida en…
-
Image Map Pro <= 6.0.20 – Cross-Site Scripting almacenado autenticado (Contribuidor+)
El plugin Image Map Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función ‘save_project’ con un shortcode arbitrario en versiones hasta, e incluyendo, la 6.0.20 debido a una sanitización insuficiente de la entrada y falta de escape en las atributos proporcionados por los usuarios. Esto permite a atacantes autenticados con…
-
Vulnerabilidad XSS almacenada en WP-Members <= 3.4.9.5 a través de wpmem_loginout Shortcode
La vulnerabilidad CVE-2024-10374 en el plugin WP-Members Membership Plugin para WordPress permite a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web arbitrarios en las páginas del sitio. La versión 3.4.9.5 y anteriores del plugin WP-Members Membership Plugin para WordPress son vulnerables a Cross-Site Scripting almacenado a través del shortcode wpmem_loginout debido a…
-
Vulnerabilidad en WPS Telegram Chat <= 4.5.4 – Falta de Autorización para la Exposición de Información
La vulnerabilidad en el plugin WPS Telegram Chat para WordPress permite a atacantes no autenticados ver mensajes enviados a través del API de Telegram debido a la falta de una verificación de capacidad en las versiones hasta, e incluyendo, 4.5.4. Esta falta de autorización en el plugin WPS Telegram Chat hasta la versión 4.5.4 permite…
-
League of Legends Shortcodes <= 1.0.1 – Inyección SQL Autenticada (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-10341 afecta al plugin League of Legends Shortcodes para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores realizar inyecciones SQL a través del shortcode del plugin. La falta de escape adecuado en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente, hacen…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Beek Widget Extention <= 0.9.5
La vulnerabilidad CVE-2024-10343 en el plugin Beek Widget Extention para WordPress permite a atacantes autenticados con permisos de contribuyente o superiores inyectar scripts web arbitrarios en páginas vulnerables. El plugin Beek Widget Extention para WordPress es vulnerable a Cross-Site Scripting almacenado a través de shortcodes en versiones hasta, e incluyendo, la 0.9.5 debido a una…
-
League of Legends Shortcodes <= 1.0.1 – XSS almacenado autenticado (Contributor+) a través de Shortcode
La vulnerabilidad identificada como CVE-2024-10342 en el plugin League of Legends Shortcodes para WordPress permite a atacantes autenticados con permisos de contribuidor y superiores realizar ataques de Cross-Site Scripting (XSS) almacenado a través de shortcodes. La versión 1.0.1 y anteriores del plugin League of Legends Shortcodes son vulnerables a XSS almacenado debido a una insuficiente…