Ultimas Noticias
-
Vulnerabilidad en WordPress GDPR <= 2.0.2 – Falta de Autorización para Eliminación de Usuarios no Autenticados
La vulnerabilidad en el plugin WordPress GDPR para WordPress pone en riesgo la pérdida no autorizada de datos debido a una falta de comprobación de capacidades en la función ‘WordPress_GDPR_Data_Delete::check_action’ en todas las versiones hasta, e incluyendo, la 2.0.2. Esto permite que atacantes no autenticados eliminen usuarios arbitrarios. La falta de autorización en la función…
-
WordPress GDPR <= 2.0.2 – Vulnerabilidad de Cross-Site Scripting almacenado sin autenticación
La plugin de WordPress GDPR es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘gdpr_firstname’ y ‘gdpr_lastname’ en todas las versiones hasta, e incluyendo, la 2.0.2 debido a una sanitización insuficiente de la entrada y falta de escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que…
-
SVG Block <= 1.1.24 – Cross-Site Scripting Almacenado (Authenticated Administrator+) a través de la Carga de Archivos SVG
El plugin SVG Block para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.1.24 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, inyectar…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el Plugin MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar <= 5.8
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar para WordPress, que afecta a todas las versiones hasta la 5.8. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas,…
-
Google for WooCommerce <= 2.8.6 – Divulgación de Información a través de Archivos PHP de Información Públicamente Accesibles
La vulnerabilidad CVE-2024-10486 en el plugin Google for WooCommerce para WordPress permite la divulgación de información en todas las versiones hasta la 2.8.6. Esto se debe a un archivo print_php_information.php accesible públicamente. Esto facilita a atacantes no autenticados recuperar información sobre la configuración del servidor web y PHP, lo que puede ser utilizado para realizar…
-
Elfsight Telegram Chat CC <= 1.1.0 – Falta de autorización para Cross-Site Scripting almacenado (Subscriber+)
El plugin Elfsight Telegram Chat CC para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidad en la función ‘updatePreferences’ en todas las versiones hasta la 1.1.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, inyectar scripts web arbitrarios en páginas que…
-
Mapster WP Maps <= 1.6.0 – Cross-Site Scripting almacenado autenticado (Colaborador+)
El plugin Mapster WP Maps para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de clase de popup en todas las versiones hasta, e incluyendo, 1.6.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web…