Ultimas Noticias
-
WC Price History for Omnibus <= 2.1.3 – Falta de Autorización
El plugin WC Price History for Omnibus para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en varias acciones AJAX en todas las versiones hasta, e incluyendo, la 2.1.3. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, ver y modificar datos de historial.…
-
ELEX WooCommerce Dynamic Pricing and Discounts <= 2.1.7 – Falta de Autorización
El plugin ELEX WooCommerce Dynamic Pricing and Discounts para WordPress es vulnerable a accesos no autorizados a datos debido a la falta de una comprobación de capacidad en las funciones elex_dp_export_rules() y elex_dp_import_rules() en todas las versiones hasta, e incluyendo, la 2.1.7. Esto permite a atacantes no autenticados importar y exportar reglas de productos, además…
-
Vulnerabilidad de Reflejo de Script Cross-Site en WP-Appbox <= 4.5.3
El plugin WP-Appbox para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta 4.5.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un…
-
Vulnerabilidad de Cross-Site Scripting almacenado en shMapper by Teplitsa <= 1.4.18 para Usuarios Autenticados (Contribuidores+)
El complemento ShMapper by Teplitsa para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘shmMap’ del complemento en todas las versiones hasta, e incluyendo, la 1.4.18 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel…
-
Exportar Datos de Clientes <= 1.2.3 – Cross-Site Scripting Reflejado
El plugin Export Customers Data para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘t’ en todas las versiones hasta la 1.2.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran…
-
Vulnerabilidad de Cross-Site Scripting en Optio Dentistry
La vulnerabilidad CVE-2024-12507 afecta al plugin de WordPress Optio Dentistry en versiones hasta 2.1, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en Optio Dentistry se produce debido a la falta de sanitización de entrada y escape…
-
Elementor Header & Footer Builder <= 1.6.46 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget de título de página
La vulnerabilidad CVE-2024-11230 en el plugin Elementor Header & Footer Builder para WordPress permite a atacantes autenticados con nivel de acceso de Contribuidor o superior, inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a una página comprometida. El plugin Elementor Header & Footer Builder para WordPress es vulnerable…