Ultimas Noticias
-
Sistema de Gestión de Biblioteca <= 3.0.0 – Inyección SQL Autenticada (Suscriptor+)
El plugin Gestión de Biblioteca – Gestionar biblioteca de libros digitales para WordPress es vulnerable a Inyección SQL a través del parámetro ‘owt7_borrow_books_id’ en todas las versiones hasta, e incluyendo, la 3.0.0 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL…
-
Vulnerabilidad de Subida de Archivos Arbitrarios en Opt-In Downloads <= 4.07 – Autenticado (Suscriptor+)
La vulnerabilidad CVE-2024-10590 en el plugin Opt-In Downloads para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función admin_upload() en todas las versiones hasta, e incluyendo, la 4.07. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan subir archivos arbitrarios…
-
Grid Plus – Ejecución de Código Corto Arbitrario no Autenticado a través de grid_plus_load_by_category
El plugin Grid Plus – Unlimited grid layout para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios a través de la acción AJAX grid_plus_load_by_category en todas las versiones hasta, e incluyendo, la 1.3.5. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor…
-
Cognito Forms <= 2.0.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del parámetro id
Se ha descubierto una vulnerabilidad en el plugin Cognito Forms para WordPress que permite a atacantes autenticados con nivel de acceso de ‘Contribuidor’ o superior, inyectar scripts web arbitrarios en páginas específicas. La vulnerabilidad viene dada por la insuficiente sanitización de la entrada y escape de la salida del parámetro ‘id’ en todas las versiones…
-
Ninja Forms – Vulnerabilidad de Cross-Site Scripting almacenado en versiones <= 3.8.19
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Ninja Forms para WordPress hasta la versión 3.8.19 permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La versión del plugin Ninja Forms hasta la 3.8.19 es vulnerable a esta forma de ataque…
-
dejure.org Vernetzungsfunktion <= 1.97.5 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin dejure.org Vernetzungsfunktion para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.97.5. Esto se debe a la falta de validación de nonce incorrecta en la función djo_einstellungen_menue(). Esto permite a atacantes no autenticados actualizar configuraciones e inyectar scripts web maliciosos a través de una solicitud falsificada,…
-
Vulnerabilidad de Cross-Site Scripting en WP Service Payment Form With Authorize.net <= 2.6.3
El plugin WP Service Payment Form With Authorize.net para WordPress es vulnerable a un ataque de Cross-Site Scripting reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 2.6.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…