Ultimas Noticias
-
Booking for Appointments and Events Calendar – Amelia Premium <= 7.7 and Lite <= 1.2.3 – Exposición de Información Sensible por Falta de Autorización
El plugin Booking for Appointments and Events Calendar – Amelia Premium y Lite para WordPress presenta una vulnerabilidad que permite el acceso no autorizado a datos sensibles debido a la falta de una verificación de capacidad en la función ‘ameliaButtonCommand’ en todas las versiones hasta, e incluyendo, Premium 7.7 y Lite 1.2.3. Esto hace posible…
-
Vulnerabilidad de XSS almacenado en RD Station <= 5.3.2 para WordPress
El plugin RD Station para WordPress es vulnerable a XSS almacenado en todas las versiones hasta, e incluyendo, 5.3.2 debido a una insuficiente sanitización de entrada y escape de salida en las cajas de metadatos de las publicaciones añadidas por el plugin. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar…
-
Geo Controller <= 8.6.9 – Falta de Autorización para Ejecución de Shortcodes no Autenticados
El plugin Geo Controller para WordPress es vulnerable a la ejecución no autorizada de shortcodes debido a la falta de autorización y comprobaciones de capacidades en la función ajax__shortcode_cache en todas las versiones hasta, e incluyendo, la 8.6.9. Esto permite que atacantes no autenticados ejecuten shortcodes arbitrarios disponibles en el sitio objetivo. Los usuarios afectados…
-
Geo Controller <= 8.6.9 – Falta de Autorización para Creación/Eliminación de Menús por Usuarios Autenticados (Suscriptores+)
El plugin Geo Controller para WordPress es vulnerable a la creación/eliminación no autorizada de menús debido a la falta de comprobaciones de capacidades en las funciones ajax__geolocate_menu y ajax__geolocate_remove_menu en todas las versiones hasta, e incluyendo, la 8.6.9. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan crear o eliminar menús…
-
Vulnerabilidad de Cross-Site Scripting en Share This Image
La vulnerabilidad CVE-2024-8363 detectada en el plugin Share This Image para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas para ejecutar acciones maliciosas cuando un usuario accede a la página comprometida. La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Share This Image se debe a…
-
Form Vibes – Database Manager for Forms <= 1.4.12 – Falta de Autorización en Múltiples Funciones
El plugin Form Vibes – Database Manager for Forms para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a la falta de verificación de capacidad en las funciones fv_export_csv, reset_settings, save_settings, save_columns_settings, get_analytics_data, get_event_logs_data, delete_submissions y get_submissions en todas las versiones hasta, e incluyendo, la 1.4.12. Esto permite que atacantes autenticados,…
-
Vulnerabilidad en Responsive Lightbox <= 2.4.7 – Falta de Autorización
El plugin Responsive Lightbox para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función init_builder() en versiones hasta, e incluyendo, la 2.4.7. Esto permite que atacantes no autenticados eliminen reglas. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin…