Ultimas Noticias
-
Yumpu E-Paper publishing <= 3.0.8 – Cross-Site Scripting después de Autenticación (Contribuidor+)
El plugin Yumpu E-Paper publishing para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘YUMPU’ en todas las versiones hasta, e incluyendo, la 3.0.8 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Vulnerabilidad en GS Insever Portfolio <= 1.4.5 – Falta de Autorización para Inyección de CSS
La vulnerabilidad en el plugin GS Insever Portfolio para WordPress permite a atacantes autenticados, con nivel de acceso de Suscriptor o superior, modificar los ajustes de CSS del plugin de forma no autorizada La vulnerabilidad se encuentra en la función save_settings() en todas las versiones hasta la 1.4.5, donde no se realiza una verificación adecuada…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el Plugin Skyword API <= 2.5.2 para WordPress
El plugin Skyword API para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘skyword_iframe’ en todas las versiones hasta, e incluyendo, la 2.5.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior,…
-
Vulnerabilidad de Inyección SQL en WP Travel – Ultimate Travel Booking System, Tour Management Engine <= 10.0.0
El plugin WP Travel – Ultimate Travel Booking System, Tour Management Engine para WordPress es vulnerable a Inyección SQL a través del parámetro ‘booking_itinerary’ de la función ‘wptravel_get_booking_data’ en todas las versiones hasta, e incluyendo, la 10.0.0. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, añadir consultas SQL adicionales a…
-
3DVieweronline <= 2.2.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin 3DVieweronline para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘3Dvo-model’ del plugin en todas las versiones hasta, e incluyendo, la 2.2.2 debido a una insuficiente sanitización de la entrada y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con acceso de contribuidor y superior,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Muslim Prayer Time-Salah/Iqamah <= 1.8.8
La vulnerabilidad CVE-2024-12515 afecta al plugin Muslim Prayer Time-Salah/Iqamah para WordPress y permite a atacantes autenticados con nivel Contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en el plugin Muslim Prayer Time-Salah/Iqamah versión 1.8.8…
-
Linear <= 2.7.12 – Cross-Site Scripting Almacenado Autenticado (Colaborador+)
El plugin Linear para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘linear_block_buy_commissions’ en todas las versiones hasta, e incluyendo, la 2.7.12 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y…