Ultimas Noticias
-
affiliate-toolkit <= 3.5.5 – Divulgación de Ruta Completa sin Autenticación
El plugin affiliate-toolkit – WordPress Affiliate Plugin para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 3.5.5. Esto se debe a que display_errors está configurado en true. Esto permite que atacantes no autenticados recuperen la ruta completa de la aplicación web, lo cual puede ser utilizado…
-
Vulnerabilidad de Lectura de Archivos Arbitrarios en Element Pack Elementor Addons
La vulnerabilidad CVE-2024-4359 afecta al plugin Element Pack Elementor Addons para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior leer archivos arbitrarios en el servidor. Esto puede exponer información sensible del sitio web. La vulnerabilidad radica en la falta de validación adecuada de archivos en la función render_svg del plugin, lo que…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Fuse Social Floating Sidebar <= 5.4.10
La vulnerabilidad CVE-2024-5226 permite a atacantes autenticados inyectar scripts maliciosos en páginas web a través de la funcionalidad de carga de archivos del plugin Fuse Social Floating Sidebar para WordPress. El plugin Fuse Social Floating Sidebar para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la funcionalidad de carga de archivos en todas…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Fuse Social Floating Sidebar <= 5.4.10 – Autenticado (Autor+) a través de la carga de archivos
La vulnerabilidad CVE-2024-5226 en el plugin de WordPress Fuse Social Floating Sidebar permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas, lo que puede poner en peligro la seguridad del sitio. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin ocurre debido a una validación insuficiente de archivos SVG durante la carga de…
-
Vulnerabilidad de Inyección SQL en Slider by 10Web – Responsive Image Slider <= 1.2.57 mediante el parámetro id
La vulnerabilidad CVE-2024-7150, denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, afecta al plugin Slider by 10Web – Responsive Image Slider para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel Contributor o superior realizar Inyecciones SQL basadas en tiempo a través del parámetro ‘id’, lo que les permite extraer…
-
Slider by 10Web – Responsive Image Slider <= 1.2.57 – Inyección SQL autenticada (contribuidor+) a través del parámetro id
La vulnerabilidad CVE-2024-7150 permite a atacantes autenticados con nivel de acceso de Contribuidor y superior realizar una Inyección SQL basada en tiempo a través del parámetro ‘id’ en el plugin Slider by 10Web – Responsive Image Slider para WordPress en versiones hasta la 1.2.57. Esta vulnerabilidad se debe a la insuficiente escapada del parámetro suministrado…
-
Plugin para WordPress de Lightbox y Modal Popup – FooBox <= 2.7.28 – XSS de DOM Almacenado Autenticado (Contributor+) a través de Atributos de Datos HTML
El complemento Lightbox & Modal Popup para WordPress – FooBox es vulnerable a XSS de DOM almacenado a través de atributos de datos HTML en todas las versiones hasta, e incluyendo, 2.7.28 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados,…