Ultimas Noticias
-
Business Directory Plugin – Vulnerabilidad de Inyección SQL sin autenticación a través del parámetro listingfields
La vulnerabilidad CVE-2024-4443 afecta al plugin Business Directory Plugin – Easy Listing Directories for WordPress en versiones hasta 6.4.2, permitiendo a atacantes no autenticados realizar Inyección SQL basada en tiempo a través del parámetro ‘listingfields’. Esto puede conducir a la extracción de información sensible de la base de datos. La vulnerabilidad surge debido a la…
-
Vulnerabilidad de Cross-Site Scripting en Elegant Addons for Elementor <= 1.0.8 – Autenticado (Contributor+) Almacenado a través de los Widgets Switcher, Slider e Iconbox
La vulnerabilidad en el plugin Elegant Addons for Elementor para WordPress permite a atacantes autenticados realizar un ataque de Cross-Site Scripting almacenado a través de los widgets Switcher, Slider e Iconbox en todas las versiones hasta la 1.0.8. Esto se debe a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por…
-
Vulnerabilidad de Cross-Site Scripting en WPKoi Templates para Elementor <= 2.5.9
La vulnerabilidad CVE-2024-4980 en el plugin WPKoi Templates para Elementor permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios parámetros, lo que podría comprometer la seguridad de un sitio web WordPress. El plugin WPKoi Templates para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros…
-
Vulnerabilidad de Autorización ausente en AI ChatBot <= 5.3.4 a través de openai_file_delete_callback
La vulnerabilidad de Autorización ausente en el plugin AI ChatBot para WordPress, identificada con el ID CVE-2024-0453, permite a atacantes autenticados eliminar archivos de una cuenta de OpenAI vinculada, incluso con acceso de nivel suscriptor y superior. La función openai_file_delete_callback carece de una verificación de capacidades, lo que posibilita la modificación no autorizada de datos…
-
AI ChatBot <= 5.3.4 – Falta de Autorización a través de openai_file_list_callback
El plugin AI ChatBot para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidad en la función openai_file_list_callback en todas las versiones hasta, e incluyendo, la 5.3.4. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, listar archivos existentes en una cuenta de OpenAI…
-
Vulnerabilidad en AI ChatBot <= 5.3.4 – Autorización faltante mediante openai_file_upload_callback
La vulnerabilidad en el plugin AI ChatBot para WordPress permite la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función openai_file_upload_callback en todas las versiones hasta, e incluyendo, la 5.3.4. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, cargar archivos en una cuenta de…
-
Media Library Assistant <= 3.15 – Inyección SQL autenticada (Contributor+) a través de Shortcode
El plugin Media Library Assistant para WordPress es vulnerable a Inyección SQL a través del shortcode del plugin en todas las versiones hasta, e incluyendo, la 3.15 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados,…