Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Accept Stripe Payments <= 2.0.86
El plugin Accept Stripe Payments para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode accept_stripe_payment_ng en todas las versiones hasta, e incluyendo, la 2.0.86 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel colaborador y…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Organization Chart para WordPress
El plugin Organization Chart para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través de los parámetros ‘title_input’ y ‘node_description’ en todas las versiones hasta la 1.5.0. Esta vulnerabilidad se debe a una insuficiente sanitización de entradas y escape de salida, lo que permite a atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
Vulnerabilidad de Server-Side Request Forgery en Modern Events Calendar <= 7.12.1
El plugin Modern Events Calendar para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta, e incluyendo, la 7.12.1 a través de la función ‘mec_fes_form’ de AJAX. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede…
-
Vulnerabilidad de Cross-Site Scripting almacenado en plugin Folders de WordPress
La vulnerabilidad CVE-2024-7317 afecta al plugin Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager en versiones anteriores a la 3.0.3, permitiendo a atacantes autenticados inyectar scripts maliciosos a través de archivos SVG. El plugin Folders de WordPress es vulnerable a ataques de Cross-Site Scripting almacenado debido a la falta de…
-
Vulnerabilidad de WPBakery <= 7.7 – Cross-Site Scripting almacenado autenticado (Autor+)
La vulnerabilidad de WPBakery Visual Composer para WordPress, identificada como CVE-2024-5708, permite a atacantes autenticados inyectar scripts maliciosos en páginas web mediante el parámetro ‘link’, poniendo en riesgo la seguridad de los usuarios con roles de Autor y superiores. La falta de sanitización adecuada de la entrada y escapado de la salida en la versión…
-
WPBakery <= 7.7 – Inclusión Local de Archivos Autenticada (Autor+)
Se ha identificado una vulnerabilidad en el plugin WPBakery Visual Composer para WordPress, que permite la inclusión local de archivos en todas las versiones hasta, e incluyendo, la 7.7 a través del parámetro ‘layout_name’. Esta vulnerabilidad afecta a usuarios autenticados con nivel de acceso Autor y superior, con permisos de publicación otorgados por un Administrador,…
-
Blox Page Builder <= 1.0.65 – Subida de Archivos Arbitrarios Autenticada (Contributor+)
La vulnerabilidad CVE-2024-6315 en el plugin Blox Page Builder para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘handleUploadFile’ en todas las versiones hasta, e incluyendo, la 1.0.65. Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, cargar archivos arbitrarios en…