Ultimas Noticias
-
Vulnerabilidad de Autenticación en Miniorange OTP Verification with Firebase <= 3.6.0 – CVE-2024-9861
La vulnerabilidad de autenticación en el plugin Miniorange OTP Verification with Firebase para WordPress en versiones hasta, e incluyendo, 3.6.0 permite a atacantes eludir la autenticación y acceder a cuentas de usuario sin permiso. La vulnerabilidad radica en la falta de validación en el token suministrado durante la autenticación OTP a través del plugin. Esto…
-
Vulnerabilidad en Miniorange OTP Verification with Firebase <= 3.6.0 permite Cambio de Contraseña Arbitrario de Usuario no Autenticado
El plugin Miniorange OTP Verification with Firebase para WordPress es vulnerable a Cambio de Contraseña Arbitrario de Usuario en versiones hasta, e incluyendo, la 3.6.0. Esto se debe a que el plugin proporciona acceso controlado por el usuario a objetos, permitiendo a un usuario eludir la autorización y acceder a recursos del sistema, y la…
-
Miniorange OTP Verification with Firebase <= 3.6.0 – Escalada de Privilegios a través del Registro debido al Valor Predeterminado del Rol de Usuario Administrador
El plugin UserPro para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, 3.6.0 debido al valor predeterminado inseguro ‘administrador’ para la opción ‘default_user_role’. Esto hace posible que atacantes no autenticados registren un usuario administrador incluso si el formulario de registro está deshabilitado. La vulnerabilidad CVE-2024-9863 permite a un atacante registrar…
-
Vulnerabilidad de Cross-Site Scripting en Zita Elementor Site Library <= 1.6.3
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Zita Elementor Site Library para WordPress permite a atacantes autenticados (con nivel de Autor o superior) cargar archivos SVG maliciosos que ejecutarán scripts web arbitrarios en las páginas del sitio. La vulnerabilidad CVE-2024-8921 se debe a una insuficiente sanitización de la entrada y escapado de la…
-
Vulnerabilidad de Cross-Site Scripting en ElementsReady Addons para Elementor <= 6.4.3 a través de Carga de Archivos SVG
La vulnerabilidad CVE-2024-9444 describe un problema de Cross-Site Scripting almacenado que afecta al plugin ElementsReady Addons para Elementor en versiones hasta la 6.4.3. Esta vulnerabilidad permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en páginas a través de la carga de archivos SVG. La falta de saneamiento de la…
-
Calendario de Reservas de Citas <= – Cross-Site Scripting almacenado autenticado (Admin+) a través de la configuración de notificaciones
La vulnerabilidad CVE-2024-7877 ha sido descubierta en el plugin de WordPress Calendario de Reservas de Citas — Simply Schedule Appointments, permitiendo a atacantes autenticados con permisos de administrador o superiores inyectar scripts maliciosos en páginas web. Se ha identificado que el plugin de Calendario de Reservas de Citas es vulnerable a Cross-Site Scripting almacenado a…
-
Vulnerabilidad en WP Popup Builder permite Ejecución de Shortcode Arbitrario
El plugin WP Popup Builder – Popup Forms and Marketing Lead Generation para WordPress es vulnerable a la ejecución de shortcode arbitrario a través de la acción AJAX wp_ajax_nopriv_shortcode_Api_Add en todas las versiones hasta, e incluyendo, la 1.3.5. Esta vulnerabilidad se debe a que el software permite a los usuarios ejecutar una acción que no…