Ultimas Noticias
-
Vulnerabilidad de Autorización Ausente en WP Helper Premium <= 4.6.1
El plugin WP Helper Premium para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘whp_smtp_send_mail_test’ en todas las versiones hasta, e incluyendo, la 4.6.1. Esto hace posible que atacantes no autenticados envíen correos electrónicos conteniendo cualquier contenido y originados desde la…
-
Elementor Inline SVG <= 1.2.0 – Cross-Site Scripting Almacenado (Author+) a través de la Carga de Archivos SVG
La vulnerabilidad CVE-2024-9064 afecta al plugin Elementor Inline SVG para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas a través de archivos SVG subidos. Esta vulnerabilidad afecta a las versiones hasta la 1.2.0 del plugin debido a una insuficiente sanitización de entrada y escape de salida. Los usuarios afectados por esta vulnerabilidad deben…
-
Curator.io: Mostrar todas tus publicaciones en redes sociales en un feed hermoso <= 1.9 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del atributo feed_id
La vulnerabilidad CVE-2024-9057 afecta al plugin Curator.io para WordPress, permitiendo a atacantes autenticados con acceso de Contribuidor o superior inyectar scripts maliciosos en páginas web. El plugin Curator.io para WordPress, en su versión 1.9 y anteriores, es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘feed_id’. Esta vulnerabilidad se debe a la insuficiente sanitización…
-
Youzify – Vulnerabilidad de autorización a eliminación arbitraria de archivos adjuntos para WordPress
La vulnerabilidad de autorización a eliminación arbitraria de archivos adjuntos en el plugin Youzify para WordPress permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminar archivos adjuntos arbitrarios. La función ‘delete_attachment’ en todas las versiones hasta la 1.3.0 del plugin Youzify para WordPress no realiza una verificación de capacidades, lo que permite…
-
Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.0 – Cross-Site Scripting almacenado autenticado a través del shortcode youzify_media
La vulnerabilidad CVE-2024-8987 afecta al plugin Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress en versiones anteriores a la 1.3.0. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página infectada. La falta de…
-
Vulnerabilidad de Cross-Site Scripting en Easy Social Share Buttons <= 1.4.5
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Easy Social Share Buttons para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. Esta vulnerabilidad puede ser explotada por atacantes no autenticados para inyectar scripts maliciosos en páginas web y ejecutar acciones no autorizadas. El plugin Easy Social Share Buttons hasta…
-
Shortcodes AnyWhere <= 1.0.1 – Ejecución arbitraria de shortcodes sin autenticación
El plugin Shortcodes AnyWhere para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 1.0.1. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten…