Ultimas Noticias
-
Vulnerabilidad de Nioland <= 1.2.6 – Cross-Site Scripting Reflejado a través de 's'
La vulnerabilidad CVE-2024-10250 afecta al tema de WordPress Nioland en versiones hasta la 1.2.6, permitiendo a un atacante no autenticado realizar ataques de Cross-Site Scripting a través del parámetro ‘s’. Este problema se debe a la insuficiente sanitización de la entrada y escape de la salida de datos. Esta vulnerabilidad de seguridad en el tema…
-
Vulnerabilidad de Escalada de Privilegios en WooCommerce Order Proposal <= 2.0.5
La vulnerabilidad de escalada de privilegios en el plugin WooCommerce Order Proposal para WordPress afecta a todas las versiones hasta la 2.0.5, permitiendo a atacantes autenticados con acceso de nivel Shop Manager o superior iniciar sesión en WordPress como cualquier usuario, incluidos administradores. La vulnerabilidad se debe a la implementación incorrecta de la función allow_payment_without_login.…
-
Vulnerabilidad de Cross-Site Scripting en Anchor Episodes Index (Spotify for Podcasters)
La vulnerabilidad CVE-2024-10189 afecta al plugin Anchor Episodes Index (Spotify for Podcasters) para WordPress, permitiendo a atacantes con acceso de contribuidor o superior inyectar scripts maliciosos en páginas del sitio web. El plugin Anchor Episodes Index (Spotify for Podcasters) en versiones anteriores a 2.1.10 es vulnerable a ataques de Cross-Site Scripting almacenado (Stored XSS) a…
-
Vulnerabilidad de Cross-Site Scripting en WP-Members Membership Plugin <= 3.4.9.5
El plugin de membresía de WP-Members para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la falta de escapado adecuado en la URL en todas las versiones hasta, e incluyendo, la 3.4.9.5. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar con éxito a un…
-
Category and Taxonomy Meta Fields <= 1.0.0 – Cross-Site Request Forgery to Taxonomy Meta Add/Delete
El plugin Category and Taxonomy Meta Fields para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 1.0.0. Esto se debe a la falta de validación de nonce incorrecta en la función ‘wpaft_option_page’. Esto hace posible que atacantes no autenticados añadan y eliminen metadata de taxonomía, siempre y cuando puedan engañar a…
-
Category and Taxonomy Image <= 1.0.0 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Editor+)
El plugin Category and Taxonomy Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘_category_image’ en versiones hasta, e incluyendo, 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de editor o superiores…
-
Campos Meta de Categoría y Taxonomía <= 1.0.0 – Cross-Site Scripting Almacenado Autenticado (Editor+)
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Category and Taxonomy Meta Fields para WordPress permite a atacantes autenticados con permisos de editor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin Category and Taxonomy Meta Fields para WordPress es vulnerable a Cross-Site…