Ultimas Noticias
-
GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.16.1 – Inyección de Objetos PHP sin Autenticación
El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.16.1 a través de la deserialización de entradas no confiables mediante varios parámetros como ‘give_title’ y ‘card_address’. Esto permite que atacantes no autenticados inyecten un Objeto PHP. La presencia…
-
Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.8 – Inclusión de Archivos Local Autorizada (Contribuidor+)
El plugin Event Manager, Events Calendar, Tickets, Registrations – Eventin para WordPress es vulnerable a Inclusión de Archivos Local en todas las versiones hasta la 4.0.8 a través de múltiples parámetros de estilo. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo…
-
Vulnerabilidad de Cross-Site Scripting en OSM <= 6.1.0 a través de Shortcodes osm_map y osm_map_v3
El plugin de OpenStreetMap para WordPress, OSM, es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes osm_map y osm_map_v3 en todas las versiones hasta la 6.1.0. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados,…
-
Beaver Builder – WordPress Page Builder <=2.8.3.6 – XSS via Button Group Module
La vulnerabilidad CVE-2024-9049 en el plugin Beaver Builder para WordPress permite a atacantes autenticados realizar XSS almacenado a través del módulo Button Group, poniendo en riesgo la seguridad de los usuarios con roles de contribuidor y superiores. El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.52
La vulnerabilidad CVE-2024-8681 en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas, lo que puede ser utilizado para realizar ataques de Cross-Site Scripting. La vulerabilidad radica en la insuficiente sanitización de entrada y escape de salida en…
-
Vulnerabilidad de Cross-Site Scripting en Absolute Reviews <= 1.1.3
El plugin Absolute Reviews para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a la versión 1.1.3 y anteriores. Esta vulnerabilidad permite a atacantes autenticados con nivel de Contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad se encuentra en el campo ‘Name’ de un criterio de publicación personalizado,…
-
Vulnerabilidad de Inyección SQL en GiveWP Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.16.1
La vulnerabilidad CVE-2024-9130 en el plugin GiveWP para WordPress permite a atacantes autenticados realizar Inyección SQL a través del parámetro ‘order’, lo que podría comprometer la seguridad de los datos del sitio web. El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a una Inyección SQL basada en tiempo a través…