Ultimas Noticias
-
Revelación de información sensible en Elementor Header & Footer Builder <= 1.6.43 a través de Shortcode
El plugin Elementor Header & Footer Builder para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, la 1.6.43 a través del shortcode hfe_template. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor o superior, puedan ver el contenido de publicaciones en estado de Borrador, Privadas y protegidas…
-
HurryTimer – Vulnerabilidad de Publicación de Post No Autorizada
El plugin HurryTimer – Un temporizador de cuenta regresiva de escasez y urgencia para WordPress & WooCommerce es vulnerable a la publicación no autorizada de posts debido a la falta de verificación de capacidades en la función activateCampaign() en todas las versiones hasta, e incluyendo, la 2.10.0. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad CSRF en MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4
La vulnerabilidad Cross-Site Request Forgery (CSRF) en el plugin MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution para WordPress afecta a todas las versiones hasta, e incluyendo, la 4.2.4. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en varias funciones en api/class-mvx-rest-controller.php. Esto permite que atacantes no autenticados actualicen detalles de…
-
Vulnerabilidad de Autorización Faltante en MultiVendorX – La Solución Definitiva para Marketplace Multivendor de WooCommerce <= 4.2.4
La vulnerabilidad de autorización faltante en el plugin MultiVendorX – La Solución Definitiva para Marketplace Multivendor de WooCommerce para WordPress permite a atacantes autenticados enviar un correo electrónico solicitando la eliminación del perfil de un vendedor arbitrario. La vulnerabilidad CVE-2024-9531 se debe a la falta de comprobación de capacidad en la función ‘mvx_sent_deactivation_request’ en todas…
-
EventPrime – Calendario de eventos moderno, Reservas y Entradas <= 4.0.4.7 – Cross-Site Scripting almacenado sin autenticación a través del registro de transacciones
El plugin EventPrime – Calendario de eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los campos ‘ep_booking_attendee_fields’ en todas las versiones hasta, e incluyendo, 4.0.4.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios…
-
Descripciones de Términos <= 3.4.6 – Cross-Site Scripting Reflejado
La vulnerabilidad de Cross-Site Scripting Reflejado en el plugin de WordPress Descripciones de Términos permite a atacantes inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. El plugin Descripciones de Términos para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al…
-
Vulnerabilidad de XSS almacenado en el plugin WP Shortcodes — Shortcodes Ultimate <= 7.2.2 – Autenticado (Contributor+) basado en DOM
El plugin WP Shortcodes — Shortcodes Ultimate para WordPress es vulnerable a XSS almacenado a través de varios parámetros en todas las versiones hasta, e incluyendo, la 7.2.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, inyecten scripts web arbitrarios…