Ultimas Noticias
-
Enfold <= 6.0.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de los parámetros wrapper_class y class
El tema Enfold – Responsive Multi-Purpose Theme para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘wrapper_class’ y ‘class’ en todas las versiones hasta, e incluyendo, la 6.0.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin MemberPress <= 1.11.29
El plugin MemberPress para WordPress es vulnerable a un tipo de ataque de Cross-Site Scripting Reflejado a través de los parámetros ‘mepr_screenname’ y ‘mepr_key’ en todas las versiones hasta, e incluyendo, la 1.11.29 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Cross-Site Scripting en el plugin HubSpot para WordPress
El plugin HubSpot – CRM, Email Marketing, Live Chat, Forms & Analytics para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del atributo ‘url’ del Widget de Reuniones de HubSpot en todas las versiones hasta, e incluyendo, 11.1.22. Esto permite a atacantes autenticados, con acceso de Contribuidor y superior, inyectar scripts web arbitrarios…
-
Visual Sound (antiguo) <= 1.06 – Cross-Site Request Forgery en la Actualización de Configuraciones
El complemento Visual Sound (antiguo) para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.06. Esto se debe a la falta de validación de nonce en una función. Esto hace posible que atacantes no autenticados actualicen la configuración del complemento a través de una solicitud falsificada, siempre que…
-
Exposición de Información no Autenticada en Premium SEO Pack – WP SEO Plugin <= 1.6.001
En este informe se detalla una vulnerabilidad de exposición de información en el plugin Premium SEO Pack – WP SEO Plugin para WordPress, identificado con el CVE-2024-3679. Esta vulnerabilidad permite a atacantes no autenticados ver información limitada de entradas protegidas con contraseña a través de los metadatos sociales. El plugin Premium SEO Pack – WP…
-
Vulnerabilidad de Cross-Site Scripting en Premium Portfolio Features para tema Phlox <= 2.3.3 – Authenticated (Contributor+) Stored XSS
La vulnerabilidad de Cross-Site Scripting almacenado afecta al plugin Premium Portfolio Features para el tema Phlox en versiones anteriores a 2.3.3. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado…
-
Popup Builder <= 4.3.3 – Exposición de Información Sensible a través de Archivo CSV de Suscriptores Importados
La extensión Popup Builder para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 4.3.3 a través de la función de Importación de Suscriptores. Esto permite que atacantes no autenticados extraigan datos sensibles después de que un administrador haya importado suscriptores a través de un archivo CSV.…