Ultimas Noticias
-
Simple News <= 2.8 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode de noticias
El plugin Simple News para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘news’ del plugin en todas las versiones hasta la 2.8 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Vulnerabilidad de Cross-Site Scripting en File Upload Types by WPForms <= 1.4.0
La vulnerabilidad CVE-2024-10016 afecta al plugin File Upload Types by WPForms para WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting (XSS) a través de la carga de archivos SVG. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y escape inadecuado de la salida. La vulnerabilidad de Cross-Site Scripting Stored afecta a todas…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Shoutcast Icecast HTML5 Radio Player <= 2.1.6 con Autenticación (Contributor+)
El plugin Shoutcast Icecast HTML5 Radio Player para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘html5radio’ en todas las versiones hasta, e incluyendo, la 2.1.6 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Vulnerabilidad en WPS Telegram Chat <= 4.5.4 – Acceso no autorizado (Subscriber+) al API de Telegram Bot
El plugin WPS Telegram Chat para WordPress es vulnerable a la modificación no autorizada de datos y pérdida de datos debido a la falta de una comprobación de capacidad en la función ‘Wps_Telegram_Chat_Admin::checkСonnection’ en las versiones hasta, e incluyendo, la 4.5.4. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, tengan acceso…
-
AMP for WP – Accelerated Mobile Pages <= 1.0.99.1 – Cross-Site Request Forgery para Escalada de Privilegios
El plugin AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.99.1. Esto se debe a la falta o validación incorrecta de nonce en la función ‘proxy’. Esto hace posible que atacantes no autenticados envíen las cookies del usuario conectado a…
-
Vulnerabilidad de Cross-Site Scripting en Bamazoo – Button Generator <= 1.0
El plugin Bamazoo – Button Generator para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode dgs en todas las versiones hasta, e incluyendo, la 1.0 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
App Builder – Crear Aplicaciones Nativas para Android & iOS en Vuelo <= 5.3.7 – Escalada de Privilegios y Toma de Control de Cuenta a través de OTP Débil
El plugin App Builder – Crear Aplicaciones Nativas para Android & iOS en Vuelo para WordPress es vulnerable a la escalada de privilegios a través de la toma de control de cuenta en todas las versiones hasta, e incluyendo, la 5.3.7. Esto se debe a que las funciones verify_otp_forgot_password() y update_password() no tienen suficientes controles…