Ultimas Noticias
-
Kognetiks Chatbot para WordPress <= 2.1.7 – Cross-Site Scripting Reflejado
El plugin Kognetiks Chatbot para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘dir’ en todas las versiones hasta la 2.1.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Product Delivery Date for WooCommerce – Lite <= 2.8.0
La vulnerabilidad CVE-2024-10882 en el plugin Product Delivery Date for WooCommerce – Lite permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas de WordPress. El plugin Product Delivery Date for WooCommerce – Lite hasta la versión 2.8.0 es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg y remove_query_arg sin escapar adecuadamente…
-
Kognetiks Chatbot for WordPress <= 2.1.7 – Falta de Autorización para Actualizar Asistente (Subscriptor+)
La vulnerabilidad CVE-2024-10531 en el plugin Kognetiks Chatbot for WordPress permite a atacantes autenticados, con acceso de nivel subscriptor y superior, modificar datos de manera no autorizada al no realizar una comprobación de capacidades en la función update_assistant(). La falta de control de autorización en la función update_assistant() del plugin Kognetiks Chatbot for WordPress hasta…
-
WPForms – Constructor de Formularios Fácil para WordPress <= 1.9.1.6 – Falsificación de Petición Cruzada (CSRF) para Borrado de Registros del Plugin
El plugin WPForms – Constructor de Formularios Fácil para WordPress – Formularios de Contacto, Formularios de Pago, Encuestas, y Más para WordPress es vulnerable a Falsificación de Petición Cruzada en todas las versiones hasta, e incluyendo, la 1.9.1.6. Esto se debe a la falta de validación de nonce incorrecta en la función process_admin_ui. Esto hace…
-
Vulnerabilidad en Buy one click WooCommerce <= 2.2.9 – Falta de Autorización para Importar Configuraciones
El plugin Buy one click WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la acción AJAX buy_one_click_import_options en todas las versiones hasta, e incluyendo, la 2.2.9. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, importar configuraciones del plugin.…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en NiceJob <= 3.6.5
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin NiceJob para WordPress pone en riesgo a los sitios web que lo utilizan. A través de ciertos shortcodes del plugin en versiones hasta la 3.6.5, los atacantes autenticados pueden inyectar scripts web maliciosos en las páginas del sitio. El plugin NiceJob para WordPress es vulnerable a…
-
GPX Viewer <= 2.2.8 – Creación de Archivos Arbitrarios (Subscriber+ Autenticado)
La vulnerabilidad CVE-2024-10629 afecta al plugin GPX Viewer para WordPress y permite a atacantes autenticados con nivel de suscriptor y superiores, crear archivos arbitrarios en el servidor del sitio afectado, lo que podría facilitar la ejecución remota de código. La vulnerabilidad se encuentra en la función gpxv_file_upload() de todas las versiones hasta la 2.2.8 del…