Ultimas Noticias
-
Tripetto <= 8.0.3 – Cross-Site Scripting almacenado no autenticado a través de la carga de archivos de formulario
El plugin Tripetto para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos en todas las versiones hasta, e incluyendo, 8.0.3 debido a una insuficiente desinfección de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada…
-
Yotpo: Reseñas de Productos y Fotos para WooCommerce <= 1.7.8 – Scripting Cruzado de Sitio Reflejado
El plugin Yotpo: Reseñas de Productos y Fotos para WooCommerce en WordPress es vulnerable a un Scripting Cruzado de Sitio Reflejado a través de los parámetros ‘yotpo_user_email’ y ‘yotpo_user_name’ en todas las versiones hasta, e incluyendo, la 1.7.8 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes…
-
Vulnerabilidad de Cross-Site Scripting en WP AdCenter – Ad Manager & Adsense Ads <= 2.5.7
La vulnerabilidad CVE-2024-10113 en el plugin WP AdCenter – Ad Manager & Adsense Ads para WordPress permite a atacantes autenticados con acceso de contribuidor o superior realizar Cross-Site Scripting almacenado a través del shortcode wpadcenter_ad del plugin. La falta de sanatización de entradas y escape de salidas en los atributos proporcionados por el usuario en…
-
Music Player for Elementor – Audio Player & Podcast Player <= 2.4.1 – Falta de Autorización para Importar Plantillas (Suscriptor+)
El plugin Music Player for Elementor – Audio Player & Podcast Player para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función import_mpfe_template() en todas las versiones hasta, e incluyendo, 2.4.1. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en LearnPress Export Import para WordPress <= 4.0.4
La extensión de WordPress LearnPress Export Import para LearnPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘learnpress_import_form_server’ en todas las versiones hasta, e incluyendo, la 4.0.4 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que…
-
Tutor LMS Elementor Addons <= 2.1.5 – Falta de Autorización para la Instalación Limitada de Plugins
El complemento Tutor LMS Elementor Addons para WordPress es vulnerable a la instalación no autorizada de plugins debido a la falta de comprobación de capacidad en la función install_etlms_dependency_plugin() en todas las versiones hasta, e incluyendo, la 2.1.5. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, instalar Elementor o Tutor LMS.…
-
Vulnerabilidad en WP Activity Log <= 5.2.1 – Cross-Site Scripting almacenado sin autenticación a través del parámetro user_id
El plugin WP Activity Log para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro user_id en todas las versiones hasta, e incluyendo, la 5.2.1 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en…