Ultimas Noticias
-
Event Tickets and Registration <= 5.8.2 – Autorización inapropiada para la divulgación de información
El plugin Event Tickets and Registration para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 5.8.2 a través de la funcionalidad RSVP. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, extraigan datos sensibles como correos electrónicos y direcciones físicas. La vulnerabilidad CVE-2024-2261…
-
WordPress Action Network 1.4.3 – Inyección de SQL autenticada (Admin+)
El plugin de Action Network para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘bulk-action’ en la versión 1.4.3 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel de…
-
Elementor Website Builder – Más que un constructor de páginas <= 3.20.2 – Cross-Site Scripting almacenado dom-basado autenticado (Contribuidor+) a través del Widget de Ruta
El plugin Elementor Website Builder – Más que un constructor de páginas para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget de Ruta del plugin en todas las versiones hasta, e incluyendo, la 3.20.2 debido a la escapada insuficiente de la salida en atributos proporcionados por el usuario. Esto permite a atacantes…
-
Elementor Website Builder Pro <= 3.20.1 – XSS almacenado basado en DOM autenticado (Contribuidor+) a través de video_html_tag
El plugin Elementor Website Builder Pro para WordPress es vulnerable a XSS almacenado a través del atributo video_html_tag en todas las versiones hasta, e incluyendo, 3.20.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Website Builder Pro <= 3.20.1 para WordPress
El plugin Elementor Website Builder Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Media Carousel en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel…
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.20.1 – XSS Almacenado Autenticado (Contribuidor+) a través de la Navegación de Publicaciones
El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a XSS Almacenado a través del widget de Navegación de Publicaciones del plugin en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.…
-
Elementor Website Builder Pro <= 3.20.1 – XSS almacenado autenticado (Contribuidor+) a través de la carga de archivos SVGZ del Widget de Formulario
La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables, lo que puede comprometer la seguridad del sitio. La versión afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a través de la carga…