Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Simple Calendar – Google Calendar <= 3.4.2
El plugin Simple Calendar – Google Calendar para WordPress es vulnerable a ataques de Reflected Cross-Site Scripting debido a un error en la generación de páginas web. Esta vulnerabilidad, identificada como CVE-2024-8549, permite a un atacante no autenticado inyectar scripts web maliciosos en páginas que se ejecutarán si logran engañar a un usuario para que…
-
Vulnerabilidad en WP Easy Gallery – Plugin de Galería para WordPress <= 4.8.5 – Falta de Autorización para Manipulación de Galerías Autenticadas (Suscriptores+)
El plugin de galería de WordPress WP Easy Gallery es vulnerable a accesos no autorizados debido a la falta de verificación de capacidad en varias funciones vinculadas a través de AJAX como wpeg_settings y wpeg_add_gallery en todas las versiones hasta, e incluyendo, la 4.8.5. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y…
-
W3 Total Cache <= 2.7.5 – Credenciales Sensibles Almacenadas en Texto Plano
El plugin W3 Total Cache para WordPress es vulnerable a la Exposición de Información Sensible en las versiones hasta, e incluyendo, la 2.7.5 a través de secretos de Google OAuth API almacenados en texto plano en el código fuente del plugin visible públicamente. Esto puede permitir a atacantes no autenticados hacerse pasar por W3 Total…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Confetti Fall Animation <= 1.3.0
La vulnerabilidad CVE-2024-8919 en el plugin Confetti Fall Animation para WordPress permite a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Confetti Fall Animation <= 1.3.0 se debe…
-
Vulnerabilidad de Inyección SQL en WP Easy Gallery – WordPress Gallery Plugin <= 4.8.5
La vulnerabilidad CVE-2024-8436, que afecta al plugin WP Easy Gallery – WordPress Gallery Plugin hasta la versión 4.8.5, permite a atacantes autenticados con nivel de suscriptor o superior realizar Inyección SQL a través de los parámetros ‘edit_imageId’ y ‘edit_imageDelete’. Esto puede llevar a la extracción de información sensible de la base de datos. El plugin…
-
WP Category Dropdown <= 1.8 – Cross-Site Scripting almacenado Autorizado (Colaborador +) a través del parámetro align
El plugin WP Category Dropdown para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘align’ en todas las versiones hasta, e incluyendo, la 1.8 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, inyectar scripts web…
-
AnWP Football Leagues <= 0.16.7 – Vulnerabilidad de Cross-Site Scripting Almacenada (XSS) Autenticada (Autor+) mediante Carga de Archivos SVG
La vulnerabilidad CVE-2024-8917 afecta al plugin AnWP Football Leagues para WordPress, permitiendo a usuarios autenticados con nivel de acceso Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG subido. La versión 0.16.7 y anteriores del plugin AnWP Football Leagues para WordPress son vulnerables…