Ultimas Noticias
-
Vulnerabilidad de XSS en SEOPress – On-site SEO <= 8.1.1
El plugin SEOPress – On-site SEO para WordPress es vulnerable a Reflected Cross-Site Scripting debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 8.1.1. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para…
-
Vulnerabilidad de XSS en el plugin Paid Membership Subscriptions para WordPress
El plugin Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 2.12.8. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
MC4WP: Mailchimp Top Bar <= 1.6.0 – Cross-Site Scripting Reflejado
El plugin MC4WP: Mailchimp Top Bar para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escapado apropiado en la URL en todas las versiones hasta, e incluyendo, la 1.6.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
RabbitLoader – Vulnerabilidad de Cross-Site Scripting en Plugin de Optimización de Velocidad para WordPress
El plugin de WordPress RabbitLoader – Website Speed Optimization for improving Core Web Vital metrics with Cache, Image Optimization, and more presenta una vulnerabilidad de Reflected Cross-Site Scripting que puede ser explotada por atacantes no autenticados para inyectar scripts web maliciosos. La vulnerabilidad CVE-2024-8800 se debe a la falta de neutralización adecuada de la entrada…
-
PWA — riesgo de Cross-Site Scripting almacenado a través de la carga de archivos SVG
El plugin PWA — easy way to Progressive Web App para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite a…
-
Email Subscribers by Icegram Express – Ejecución Arbitraria de Shortcodes (Usuario Suscriptor+) CVE-2024-8254
La vulnerabilidad CVE-2024-8254 afecta al plugin de WordPress Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce en versiones hasta la 5.7.34. Esta vulnerabilidad permite a usuarios autenticados con nivel de acceso de Suscriptor o superior ejecutar shortcodes de forma arbitraria. La raíz del problema radica en la falta de…
-
WP Hotel Booking <= 2.1.2 – Subida de Archivos Arbitrarios (Suscriptor+)
La vulnerabilidad en el plugin WP Hotel Booking para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función update_review() en todas las versiones hasta, e incluyendo, la 2.1.2. Esto posibilita que atacantes autenticados, con acceso de nivel suscriptor y superior, suban archivos arbitrarios en…