Ultimas Noticias
-
Aumento del tamaño de carga de archivos y límite de tiempo de ejecución máximo <= 2.0 – Scripting entre sitios reflejado
El plugin Aumento del tamaño de carga de archivos y límite de tiempo de ejecución máximo para WordPress es vulnerable a Scripting entre sitios reflejado debido al uso de add_query_arg sin escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Tainacan <= 0.21.10
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Tainacan para WordPress se debe a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 0.21.10. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que…
-
Vulnerabilidad de Cross-Site Scripting en plugin PublishPress Revisions para WordPress
La vulnerabilidad CVE-2024-9436 ha sido identificada en el plugin de WordPress PublishPress Revisions: Duplicate Posts, Submit, Approve and Schedule Content Changes en su versión 3.5.14 o anterior. La falta de escape adecuado en la URL al utilizar add_query_arg permite a atacantes no autenticados inyectar scripts web arbitrarios. La vulnerabilidad de Cross-Site Scripting (XSS) en el…
-
Hunk Companion <= 1.8.4 – Falta de Autorización para la Instalación/Activación Arbitraria de Plugins por Usuarios no Autenticados
El plugin Hunk Companion para WordPress es vulnerable a la instalación/activación no autorizada de plugins debido a una comprobación de capacidad faltante en el endpoint /wp-json/hc/v1/themehunk-import de la API REST en todas las versiones hasta, e incluyendo, la 1.8.4. Esto permite a atacantes no autenticados instalar y activar plugins arbitrarios que pueden ser aprovechados para…
-
Incrustar videos y respetar la privacidad <= 1.2 – XSS Reflejado
El complemento Embed videos and respect privacy para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘v’ en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Descarga de Plugins y Temas en ZIP desde el Panel de Control <= 1.9.1 – Cross-Site Scripting Reflejado
El plugin Download Plugins and Themes in ZIP from Dashboard para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 1.9.1. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Language Switcher <= 3.7.13 – Cross-Site Scripting Reflejado
El plugin Language Switcher para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 3.7.13. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para…