Ultimas Noticias
-
Vulnerabilidad XSS almacenada en Elastik Page Builder <= 0.27.4 mediante la subida de archivos SVG
La vulnerabilidad CVE-2024-9274 en el plugin de Elastik Page Builder para WordPress permite a atacantes autenticados con nivel de Autor o superior inyectar scripts web arbitrarios en páginas mediante la subida de archivos SVG. La vulnerabilidad radica en la falta de sanitización de la entrada y el escape de la salida en todas las versiones…
-
Vulnerabilidad de XSS almacenado (Stored Cross-Site Scripting) en SVG Complete <= 1.0.2 a través de la carga de archivos SVG
El plugin SVG Complete para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts…
-
LocateAndFilter <= 1.6.14 – XSS almacenado autenticado (Autor+) a través de carga de archivos SVG
El plugin LocateAndFilter para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.6.14 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Reflected Cross-Site Scripting en LH Copy Media File <= 1.08
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin LH Copy Media File para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. El plugin LH Copy Media File para WordPress es…
-
Vulnerabilidad de Inyección SQL en WP Easy Gallery <= 4.8.5 a través del parámetro 'key' para usuarios autenticados (Contributor+)
La vulnerabilidad identificada como CVE-2024-9018 en el plugin de WordPress WP Easy Gallery permite a usuarios autenticados con nivel de acceso Contributor o superior llevar a cabo ataques de inyección SQL a través del parámetro ‘key’. Esto podría resultar en la extracción de información sensible de la base de datos. La falta de un escapado…
-
Vulnerabilidad de Stored Cross-Site Scripting en Slider Revolution <= 6.7.18 a través de la carga de archivos SVG con autenticación (Autor+)
La vulnerabilidad de Stored Cross-Site Scripting en Slider Revolution hasta la versión 6.7.18 permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en páginas mediante la carga de archivos SVG. Esto se debe a una insuficiente sanitización de entrada y escapado de salida en el plugin para WordPress. La falta…
-
Broken Link Checker <= 2.4.0 – Cross-Site Scripting Reflejado
El plugin Broken Link Checker para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la utilización de add_query_arg en /app/admin-notices/features/class-view.php sin un escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 2.4.0. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar…