Ultimas Noticias
-
Post Duplicator <= 2.36 – Divulgación de Post Protegido por Autenticación (Contribuidor+)
El plugin Post Duplicator para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 2.36 a través de mtphr_duplicate_post() debido a restricciones insuficientes sobre qué posts pueden ser duplicados. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, extraer datos de posts protegidos por contraseña,…
-
Bloques de Gutenberg con AI por Kadence WP – Características del constructor de páginas <= 3.4.2 – Cross-Site Scripting almacenado autenticado (contributor+) a través del enlace del botón
El plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque de botón en todas las versiones hasta, e incluyendo, la 3.4.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad en Essential WP Real Estate <= 1.1.3 – Falta de Autorización para la Eliminación Arbitraria de Páginas/Entradas
La vulnerabilidad CVE-2024-13318 en el plugin Essential WP Real Estate para WordPress permite a atacantes no autenticados eliminar de forma arbitraria páginas y entradas debido a la falta de una verificación de capacidad en la función cl_delete_listing_func(). La versión 1.1.3 y anteriores del plugin Essential WP Real Estate son vulnerables a esta falla de seguridad…
-
Orbit Fox by ThemeIsle <= 2.10.43 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro title_tag
El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘title_tag’ en todas las versiones hasta, e incluyendo, la 2.10.43 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts…
-
Orbit Fox by ThemeIsle <= 2.10.43 – Cross-Site Scripting a través del widget Pricing Table
El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Pricing Table en todas las versiones hasta, e incluyendo, 2.10.43 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Vulnerabilidad de Reflejo de Script Cruzado en Clasify Classified Listing <= 1.0.7
La vulnerabilidad CVE-2024-12725 en el plugin Clasify Classified Listing para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 1.0.7 y anteriores de Clasify Classified Listing son vulnerables a un Reflejo de Script…
-
WPBookit <= 1.6.4 – Cambio de Contraseña de Usuario Arbitrario no Autenticado
La vulnerabilidad CVE-2024-10215 en el plugin WPBookit para WordPress permite a atacantes no autenticados cambiar contraseñas de usuario de forma arbitraria. Esto se debe a que el plugin proporciona acceso controlado por el usuario a objetos, permitiendo a un usuario evadir la autorización y acceder a recursos del sistema. La versión 1.6.4 y anteriores del…