Ultimas Noticias
-
Rate Star Review Vote – AJAX Reviews, Votes, Star Ratings <= 1.6.3 – Cross-Site Scripting
El plugin Rate Star Review Vote – AJAX Reviews, Votes, Star Ratings para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘videowhisper_reviews’ en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite…
-
Webcamconsult <= 1.5.0 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin Webcamconsult para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.5.0. Esto se debe a la falta o validación incorrecta de nonce en una función. Esto permite que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una solicitud falsificada siempre y…
-
Vulnerabilidad de XSS almacenado en Utilities for MTG <= 1.4.1 – Autenticado (Colaborador+) Stored Cross-Site Scripting
El plugin Utilities for MTG para WordPress es vulnerable a XSS almacenado a través del shortcode ‘mtglink’ del plugin en todas las versiones hasta, e incluyendo, la 1.4.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con nivel de acceso…
-
MarketKing — Ultimate WooCommerce Multivendor Marketplace Solution <= 1.9.80 – Cross-Site Scripting con Autenticación (Shop Manager+)
El plugin MarketKing – Ultimate WooCommerce Multivendor Marketplace Solution para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del plugin en todas las versiones hasta, e incluyendo, la 1.9.80 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con permisos de Shop Manager y…
-
Tema de WordPress Buzz Club – Night Club, DJ and Music Festival Event <= 2.0.4 – Falta de Autorización para Actualización de Opción Arbitraria Limitada a Usuarios Autenticados (Suscriptores+)
El tema Buzz Club – Night Club, DJ and Music Festival Event para WordPress es vulnerable a la modificación no autorizada de datos que puede provocar una denegación de servicio debido a la falta de una verificación de capacidad en la función ‘cmsmasters_hide_admin_notice’ en todas las versiones hasta, e incluyendo, la 2.0.4. Esto permite a…
-
WP Abstracts <= 2.7.2 – CSRF a XSS Reflejado
El plugin WP Abstracts para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.7.2. Esto se debe a la falta de validación de nonce en las funciones wpabstracts_load_status() y wpabstracts_delete_abstracts(). Esto permite a atacantes no autenticados inyectar scripts web maliciosos a través de una solicitud falsificada siempre y…
-
Galería de Imágenes – Subidas de Imágenes en Frontend, Lista de Fotos AJAX <= 1.5.22 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del shortcode videowhisper_picture_upload_guest
La vulnerabilidad CVE-2024-12696 afecta al plugin Picture Gallery – Frontend Image Uploads, AJAX Photo List para WordPress, permitiendo a atacantes autenticados con nivel de contributor o superior, inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a ellas. La versión 1.5.22 y anteriores del plugin Picture Gallery presentan una vulnerabilidad de…