Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Binary MLM Woocommerce <= 2.0 a través del parámetro 'page'
La vulnerabilidad CVE-2024-12384 afecta al plugin Binary MLM Woocommerce para WordPress, permitiendo a atacantes inyectar scripts maliciosos en páginas web si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting se debe a una insuficiente sanitización de entradas y escapado de salidas en…
-
Candifly <= 1.0.6 – Cross-Site Scripting Almacenado Autenticado (Colaborador+)
El plugin Candifly para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘candifly’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de colaborador y superior,…
-
Chatroll Live Chat <= 2.5.0 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Chatroll Live Chat para WordPress puede ser explotada por atacantes autenticados para insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario accede a esa página. La vulnerabilidad CVE-2024-12464, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta a todas…
-
FancyPost Vulnerable: Autorización Faltante en Exportación de Shortcode para Suscriptores+
El plugin FancyPost – Best Ultimate Post Block, Post Grid, Layouts, Carousel, Slider For Gutenberg & Elementor para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidades en la función handle_block_shortcode_export() en todas las versiones hasta, e incluyendo, 6.0.0. Esto permite que atacantes autenticados, con acceso de…
-
Host PHP Info <= 1.0.4 – Falta de Autorización para Divulgación No Autorizada de Información Sensible
El plugin Host PHP Info para WordPress es vulnerable a accesos no autorizados a datos debido a la falta de una verificación de capacidad al incluir la función ‘phpinfo’ en todas las versiones hasta, e incluyendo, la 1.0.4. Esto hace posible que atacantes no autenticados puedan leer configuraciones y variables predefinidas en el servidor del…
-
Vulnerabilidad de Cross-Site Scripting almacenado en SweepWidget Contests, Giveaways, Photo Contests, Competitions <= 2.0.6 – Autenticado (Colaborador+)
La vulnerabilidad CVE-2024-11756 permite a atacantes autenticados con acceso de colaborador o superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el shortcode ‘sweepwidget’ del plugin SweepWidget Contests, Giveaways, Photo Contests, Competitions hasta la versión 2.0.6. La falta de sanitización de entradas y escape de salidas en los atributos suministrados por los usuarios hace…
-
Geo Content <= 6.0 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Contributor+)
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Geo Content para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas, lo que puede ser utilizado para realizar ataques maliciosos. El plugin Geo Content para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘geotargetlygeocontent’…