Ultimas Noticias
-
Vulnerabilidad de Seguridad en MStore API para WordPress
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que puede ser explotada por atacantes autenticados para cargar archivos HTML con scripts web maliciosos. La vulnerabilidad CVE-2024-12042, titulada ‘Unrestricted Upload of File with Dangerous Type’, afecta a todas las versiones del…
-
Vulnerabilidad en plugin WP Timetics que permite eliminación de usuarios arbitrarios
El plugin WP Timetics- Calendario de Reservas y Programación en línea, basado en inteligencia artificial, presenta una vulnerabilidad que permite a atacantes autenticados eliminar usuarios de forma arbitraria, comprometiendo la seguridad de los datos. La vulnerabilidad identificada como CVE-2024-11275 se debe a la falta de verificación de capacidades en el punto final /wp-json/timetics/v1/customers/ de la…
-
Calculadora de Impuesto de Estampilla de Property Hive <= 1.0.22 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La calculadora de impuesto de estampilla de Property Hive para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘stamp_duty_calculator_scotland’ en todas las versiones hasta, e incluyendo, 1.0.22 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con…
-
Coupon Affiliates – Plugin de Afiliados para WooCommerce <= 5.16.7.1 – Ejecución de Shortcode Arbitrario y Cross-Site Scripting Reflejado sin Autenticación
La vulnerabilidad CVE-2024-12421 afecta al plugin Coupon Affiliates – Plugin de Afiliados para WooCommerce en todas las versiones hasta la 5.16.7.1. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes de forma arbitraria y también es vulnerable a Cross-Site Scripting Reflejado. La vulnerabilidad se debe a que el software permite a los usuarios ejecutar una…
-
Vulnerabilidad CSRF en Themify Store Locator <= 1.1.9
El plugin Themify Store Locator para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.1.9. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la función setting_page(). Esto permite a atacantes no autenticados modificar la configuración del plugin a través de una solicitud…
-
Beaver Builder – WordPress Page Builder <= 2.8.4.4 – Cross-Site Scripting después de autenticación (Contribuidor+)
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de filas de JavaScript personalizado en todas las versiones hasta, e incluyendo, 2.8.4.4 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor…
-
Vulnerabilidad en Simple Link Directory <= 8.4.0 – Ejecución de Shortcode Arbitrario sin Autenticación
La vulnerabilidad CVE-2024-12417 en el plugin Simple Link Directory para WordPress permite la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 8.4.0. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes…