Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en el sistema de reservas Trafft <= 1.0.6 – Autenticado (Contribuidor+)
El plugin de WordPress Sistema de Reservas Trafft es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘trafftbooking’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en WP Crowdfunding <= 2.1.12
El plugin WP Crowdfunding para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque wp-crowdfunding/search en todas las versiones hasta, e incluyendo, la 2.1.12 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad en WP Crowdfunding <= 2.1.12 – Autorización faltante para la instalación de WooCommerce por usuarios autenticados (Subscriber+)
La vulnerabilidad en el plugin WP Crowdfunding para WordPress permite la instalación no autorizada de plugins debido a la falta de verificación de capacidad en la acción install_woocommerce_plugin() en todas las versiones hasta, e incluyendo, la 2.1.12. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, instalen WooCommerce. Esto tiene un…
-
Notibar – Notification Bar for WordPress <= 2.1.4 – Ejecución arbitraria de Shortcode Autenticado (Suscriptor+) a través de njt_nofi_text
El complemento Notibar – Notification Bar for WordPress para WordPress es vulnerable a la ejecución arbitraria de shortcode a través de la acción AJAX njt_nofi_text en todas las versiones hasta, e incluyendo, la 2.1.4. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes…
-
Minify HTML <= 2.1.10 – – Denegación de Servicio por Expresiones Regulares
La vulnerabilidad CVE-2024-12579, denominada ‘Uncontrolled Resource Consumption’, afecta al plugin Minify HTML para WordPress en todas las versiones hasta, e incluyendo, la 2.1.10. Esta vulnerabilidad se debe al procesamiento de la entrada proporcionada por el usuario como una expresión regular, lo que permite a atacantes no autenticados crear comentarios que pueden causar un retroceso catastrófico…
-
Vulnerabilidad de Cross-Site Scripting almacenado en NewsmanApp <= 2.7.6
La vulnerabilidad CVE-2024-11767 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas web a través del plugin NewsmanApp para WordPress. El plugin NewsmanApp para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘newsman_subscribe_widget’ en todas las versiones hasta la 2.7.6 debido a la insuficiente sanitización de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Primer MyData for Woocommerce <= 4.2.1
La vulnerabilidad CVE-2024-11809 afecta al plugin Primer MyData for Woocommerce para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting a través del parámetro ‘img_src’ en las versiones hasta la 4.2.1. El problema radica en la falta de saneamiento de la entrada y escape de salida, lo que posibilita a los atacantes…