Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Gravity Forms Toolbar <= 1.7.0
La vulnerabilidad CVE-2024-8718 en el plugin Gravity Forms Toolbar para WordPress permite a atacantes no autenticados realizar ataques de Cross-Site Scripting Reflejado, lo que podría comprometer la seguridad de un sitio web. La versión 1.7.0 y anteriores del plugin Gravity Forms Toolbar para WordPress son vulnerables a ataques de Cross-Site Scripting Reflejado debido a la…
-
RumbleTalk Live Group Chat – HTML5 <= 6.3.0 – Cross-Site Scripting almacenado (autenticado)
El plugin RumbleTalk Live Group Chat – HTML5 para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘rumbletalk-admin-button’ en todas las versiones hasta, e incluyendo, la 6.3.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
KB Support – Vulnerabilidad de Autorización Ausente en Acciones de Administrador Múltiples para Usuarios Autenticados (Suscriptor+)
El plugin KB Support – WordPress Help Desk and Knowledge Base para WordPress es vulnerable a modificaciones no autorizadas y pérdida de datos debido a la falta de verificación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 1.6.6. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
Guten Post Layout – Una colección avanzada de cuadrícula de publicaciones para WordPress Gutenberg <= 1.2.4 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del atributo de alineación
El plugin Guten Post Layout – Una colección avanzada de cuadrícula de publicaciones para WordPress Gutenberg es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘align’ dentro del bloque de Gutenberg ‘wp:guten-post-layout/post-grid’ en todas las versiones hasta, e incluyendo, la 1.2.4 debido a una sanitización insuficiente de la entrada y escape de la salida.…
-
DK PDF <= 1.9.6 – Cross-Site Scripting Reflejado
El plugin DK PDF para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.9.6. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar con éxito a un…
-
123.chat – Video Chat <= 1.3.1 – Cross-Site Scripting sin Autenticación
El plugin de WordPress 123.chat – Video Chat es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, 1.3.1 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda…
-
Hello World <= 2.1.1 – Lectura de Archivos Arbitrarios Autenticados (Subscriber+)
El plugin Hello World para WordPress es vulnerable a la lectura de archivos arbitrarios en todas las versiones hasta, e incluyendo, la 2.1.1 a través de la función hello_world_lyric(). Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, leer el contenido de archivos arbitrarios en el servidor, los cuales pueden contener información…