Ultimas Noticias
-
Vulnerabilidad de almacenamiento de Scripting en RecipePress Reloaded <= 2.12.0
El plugin RecipePress Reloaded para WordPress es vulnerable a Scripting en almacenamiento debido a la falta de sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad CVE-2024-11414…
-
LSX Tour Operator <= 1.4.9 – XSS almacenado autenticado (Author+) a través de la carga de archivos SVG
El plugin LSX Tour Operator para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.4.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar…
-
Vulnerabilidad de Reflected Cross-Site Scripting en el Plugin salavat counter <= 0.9.1
El plugin salavat counter para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta la 0.9.1 debido a la insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Vulnerabilidad de Cross-Site Scripting almacenado en SuevaFree Essential Kit <= 1.1.3 (Autenticado como Contributor+)
El plugin SuevaFree Essential Kit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘counter’ en todas las versiones hasta, e incluyendo, la 1.1.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos provistos por los usuarios. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting en Include Mastodon Feed <= 1.9.5 – Autenticado (Contribuidor+) Almacenado
La vulnerabilidad CVE-2024-11455 se encuentra en el plugin Include Mastodon Feed para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario accede a una página comprometida. La versión vulnerable del plugin incluye el shortcode ‘include-mastodon-feed’ y carece de una adecuada sanitización de entrada…
-
Vulnerabilidad de Missing Authorization en plugin Ultimate YouTube Video & Shorts Player With Vimeo <= 3.3
El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta un fallo de seguridad que permite a usuarios autenticados con nivel de acceso de Suscriptor o superior, borrar listas de reproducción de forma no autorizada. La vulnerabilidad reside en la función del_ytsingvid() del plugin, la cual no realiza una verificación adecuada de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Subaccounts for WooCommerce <= 1.6.0
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Subaccounts for WooCommerce para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. La versión 1.6.0 del plugin Subaccounts for WooCommerce para WordPress, y todas las…