Ultimas Noticias
-
Vulnerabilidad en Delicate <= 3.5.5 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El tema Delicate para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘link’ dentro del shortcode de Botón del tema en todas las versiones hasta, e incluyendo, la 3.5.5 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o…
-
Triton Lite <= 1.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode de botón
La vulnerabilidad de Cross-Site Scripting almacenado en el tema Triton Lite para WordPress permite a atacantes autenticados con acceso de nivel Contributor y superior inyectar scripts web arbitrarios en páginas, lo que podría comprometer la seguridad de los usuarios. La vulnerabilidad CVE-2024-5789 afecta al tema Triton Lite para WordPress en su versión 1.3 y anteriores.…
-
Vulnerabilidad de Deserialización PHAR en WP Editor <= 1.2.9 – CVE-2022-2446
El plugin WP Editor para WordPress es vulnerable a la deserialización de datos no confiables a través del parámetro ‘current_theme_root’ en las versiones hasta, e incluyendo, 1.2.9. Esto permite a atacantes autenticados con privilegios administrativos llamar archivos utilizando un envoltorio PHAR que deserializará y llamará a objetos PHP arbitrarios que pueden ser utilizados para realizar…
-
MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube <= 4.15.3 – Registro de Usuario no Autorizado
El plugin MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube para WordPress es vulnerable a registro de usuarios no autorizados en todas las versiones hasta, e incluyendo, la 4.15.3. Esto se debe a que el plugin no verifica que el registro de usuarios esté habilitado antes de crear una cuenta…
-
Generador de miniaturas de PDF <= 1.3 – Cross-Site Scripting Reflejado
El plugin Generador de miniaturas de PDF para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 1.3. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario…
-
Vulnerabilidad en MStore API permite la carga arbitraria de archivos en WordPress
La vulnerabilidad CVE-2024-8242 en el plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress permite la carga de archivos arbitrarios en el servidor afectado, lo que puede conducir a la ejecución remota de código. La vulnerabilidad reside en la falta de validación de tipos de archivo en la función…
-
YITH Custom Login <= 1.7.3 – Cross-Site Scripting Reflejado
El plugin YITH Custom Login para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 1.7.3. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para…