Ultimas Noticias
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Datepicker <= 2.1.4
La vulnerabilidad CVE-2024-12468 afecta al plugin WP Datepicker para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas si logran engañar a un usuario para que realice ciertas acciones, como hacer clic en un enlace. El plugin WP Datepicker…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Loan Comparison <= 2.0 para Usuarios Autenticados (Contributor+)
La vulnerabilidad CVE-2024-12814 en el plugin Loan Comparison para WordPress permite la ejecución de scripts maliciosos en páginas web debido a una incorrecta neutralización de la entrada de datos durante la generación de la página. El plugin Loan Comparison para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘loancomparison’ en todas las…
-
Vulnerabilidad en Print Invoice & Delivery Notes for WooCommerce <= 5.4.0 – Falta de Autorización para Eliminar el Logo
La vulnerabilidad CVE-2024-12210 en el plugin Print Invoice & Delivery Notes for WooCommerce para WordPress permite a usuarios autenticados con nivel de acceso de Suscriptor o superior eliminar el logo de la tienda de forma no autorizada. El plugin Print Invoice & Delivery Notes for WooCommerce hasta la versión 5.4.0 no realiza una verificación de…
-
NinjaTeam Chat for Telegram <= 1.0 – Cross-Site Scripting almacenado con autenticación (Contributor+)
El plugin NinjaTeam Chat for Telegram para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘njtele_button’ en todas las versiones hasta, e incluyendo, la 1.0 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador…
-
Protección contra Ataques de Fuerza Bruta en Advanced Google reCAPTCHA <= 1.25 – Desbloqueo de IP
El plugin Advanced Google reCAPTCHA para WordPress es vulnerable al desbloqueo de IP en todas las versiones hasta, e incluyendo, la 1.25. Esto se debe a que el plugin no utiliza una clave única fuerte al generar una solicitud de desbloqueo. Esto hace posible que atacantes no autenticados desbloqueen su IP después de ser bloqueados…
-
Vulnerabilidad de XSS almacenado en WordPress Simple Shopping Cart <= 5.0.7 para usuarios autenticados (Contributor+)
El plugin WordPress Simple Shopping Cart es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ‘wp_cart_button’ y ‘wp_cart_display_product’ en todas las versiones hasta, e incluyendo, la 5.0.7. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Bitcoin Lightning Publisher para WordPress <= 1.4.1 – Cross-Site Scripting Reflejado
El plugin Bitcoin Lightning Publisher para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.4.1. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario…