Ultimas Noticias
-
Exclusivo Divi – Divi Preloader, Módulos para Divi & Extra Theme <= 1.4 – Cross-Site Scripting almacenado autenticado (Autor+) a través de carga de archivo SVG
La vulnerabilidad CVE-2024-9386 afecta al plugin Exclusive Divi – Divi Preloader, Módulos para Divi & Extra Theme para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas a través de carga de archivos SVG. La falta de sanitización de entrada y escape de salida en las versiones del plugin hasta la 1.4 hace posible…
-
Vulnerabilidad en WP Chat App que permite instalación no autorizada de plugins en Filebird Plugin
El plugin de WordPress WP Chat App es vulnerable a la instalación no autorizada de plugins debido a la ausencia de una verificación de capacidad en la función ajax_install_plugin() en todas las versiones hasta, e incluyendo, la 3.6.8. Esto permite a atacantes autenticados, con acceso de nivel de Suscriptor y superior, instalar el plugin filebird.…
-
Popularis Extra <= 1.2.7 – Divulgación de Posts Autenticados (Contributor+)
La vulnerabilidad CVE-2024-10795 afecta al plugin Popularis Extra para WordPress en todas las versiones hasta 1.2.7. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de Contribuidor y superior, extraer datos de posts privados o en borrador creados a través de Elementor a los que no deberían tener acceso. La vulnerabilidad de Autorización CVE-2024-10795…
-
Popup Box – Crear Popups de Cuenta Regresiva, Cupones, Video, Formularios de Contacto <= 4.9.7 – Falta de Autorización para Actualizaciones Limitadas sin Autenticación
El plugin Popup Box – Crear Popups de Cuenta Regresiva, Cupones, Video, Formularios de Contacto para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función deactivate_plugin_option() en todas las versiones hasta, e incluyendo, la 4.9.7. Esto permite a atacantes no autenticados actualizar la…
-
Vulnerabilidad en Simple Local Avatars <= 2.7.11 – Falta de Autorización para Limpiar el Caché de Usuario Autenticado (Suscriptor+)
La vulnerabilidad CVE-2024-10786 afecta al plugin Simple Local Avatars para WordPress, permitiendo la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función sla_clear_user_cache en todas las versiones hasta, e incluyendo, la 2.7.11. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan limpiar cachés de…
-
Bypass de Autenticación en External Database Based Actions <= 0.1 – Autenticado (Suscriptor+)
El plugin External Database Based Actions para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 0.1. La falta de una comprobación de capacidad en la función ‘edba_admin_handle’ permite a atacantes autenticados, con permisos de nivel suscriptor y superiores, actualizar la configuración del plugin e iniciar sesión como cualquier…
-
Hide My WP Ghost – Seguridad y Firewall <= 5.3.01 – Cross-Site Scripting Reflejado a través de la URL
La vulnerabilidad CVE-2024-10825 encontrada en el plugin Hide My WP Ghost – Seguridad y Firewall para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas si logran engañar a un usuario administrativo para realizar una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting Reflejado (Reflected XSS) en…