Ultimas Noticias
-
EventON PRO – Plugin de Calendario de Eventos Virtuales para WordPress <= 4.6.8 – Cross-Site Request Forgery a través de admin_test_email
El plugin EventON PRO – Plugin de Calendario de Eventos Virtuales para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.6.8. Esto se debe a la falta o validación incorrecta de nonce en la función admin_test_email. Esto permite a atacantes no autenticados enviar correos electrónicos de prueba a…
-
ElementInvader Addons para Elementor <= 1.2.9 – Divulgación de Información Autenticada (Contribuyente+)
La vulnerabilidad CVE-2024-9889 afecta al plugin ElementInvader Addons para Elementor en versiones hasta la 1.2.9, permitiendo la exposición de información sensible a actores no autorizados. El plugin ElementInvader Addons para Elementor en WordPress es vulnerable a la divulgación de información sensible en todas las versiones hasta, e incluyendo, 1.2.9 a través del widget Page Loader.…
-
Vulnerabilidad de Inyección SQL en el Plugin Photo Gallery Slideshow & Masonry Tiled Gallery <= 1.0.3
CVE-2019-25218 describe una vulnerabilidad de Inyección SQL en el plugin Photo Gallery Slideshow & Masonry Tiled Gallery para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de Administrador o superior, agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos. La vulnerabilidad CVE-2019-25218, denominada Improper Neutralization of…
-
Vulnerabilidad de XSS Reflejado en WordPress Social Share Buttons <= 1.19
El plugin WordPress Social Share Buttons para WordPress es vulnerable a XSS Reflejado debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.19. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que…
-
Vulnerabilidad en Time Clock y Time Clock Pro permite Ejecución Remota de Código sin autenticación
La vulnerabilidad CVE-2024-9593 encontrada en las versiones hasta 1.2.2 de Time Clock y 1.1.4 de Time Clock Pro para WordPress, permite a atacantes no autenticados ejecutar código en el servidor a través de la función ‘etimeclockwp_load_function_callback’. Esta vulnerabilidad surge debido a un control inadecuado en la generación de código, lo que permite a los atacantes…
-
Vulnerabilidad de Cross-Site Scripting en RSS Feed Widget <= 2.9.9 a través de rfw-youtube-videos Shortcode
El plugin RSS Feed Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode rfw-youtube-videos en todas las versiones hasta la 2.9.9 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar…
-
Vulnerabilidad de XSS almacenado en plugin Advanced Category and Custom Taxonomy Image <= 1.0.9
La vulnerabilidad CVE-2024-9425 en el plugin Advanced Category and Custom Taxonomy Image para WordPress permite a atacantes autenticados con acceso de colaborador o superior inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página infectada. La vulnerabilidad de XSS almacenado en el plugin Advanced Category and Custom Taxonomy Image hasta la…