Ultimas Noticias
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP – Bulk SMS – by SMS.to
Se ha identificado una vulnerabilidad de Reflected Cross-Site Scripting en el plugin WP – Bulk SMS – by SMS.to para WordPress, con un ID CVE asignado como CVE-2024-11434. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción…
-
Vulnerabilidad de Cross-Site Scripting almacenado en CC Canadian Mortgage Calculator <= 2.1.0 para usuarios autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-11383 en el plugin CC Canadian Mortgage Calculator para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. La versión 2.1.0 y anteriores del plugin CC Canadian Mortgage Calculator para WordPress son propensas a Cross-Site Scripting almacenado a través del shortcode ‘cc-mortgage-canada’ debido…
-
RightMessage WP <= 0.9.7 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin RightMessage WP para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘rm_area’ del plugin en todas las versiones hasta la 0.9.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Woo Ukrposhta <= 1.17.11
El plugin Woo Ukrposhta para WordPress es vulnerable a Reflected Cross-Site Scripting a través de los parámetros ‘order’, ‘post’ y ‘idd’ en todas las versiones hasta 1.17.11 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…
-
Escalada de Privilegios No Autenticada en School Management System – SakolaWP <= 1.0.8
La vulnerabilidad de escalada de privilegios en el plugin School Management System – SakolaWP para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.0.8. Esto se debe a que la función de registro no limita correctamente los roles que un usuario puede registrar. Esto permite que atacantes no autenticados se registren como usuarios…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Meteor Slides <= 1.5.7
La vulnerabilidad CVE-2024-12073, también conocida como ‘Cross-Site Scripting Almacenado’ afecta al plugin Meteor Slides para WordPress en versiones hasta la 1.5.7. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso Contributor o superior, inyectar scripts web maliciosos en páginas que serán ejecutados cuando un usuario accede a la página manipulada. La causa de esta…
-
Vulnerabilidad en Binary MLM Woocommerce <= 2.0 – Cross-Site Request Forgery to Stored Cross-Site Scripting
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Binary MLM Woocommerce para WordPress en todas las versiones hasta, e incluyendo, la 2.0. Esta vulnerabilidad se debe a una validación incorrecta o ausente de nonce en la función ‘bmw_display_pv_set_page’ y a una insuficiente sanitización de entradas y escape de salidas del…