Ultimas Noticias
-
Vulnerabilidad en Binary MLM Woocommerce <= 2.0 – Cross-Site Request Forgery to Stored Cross-Site Scripting
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Binary MLM Woocommerce para WordPress en todas las versiones hasta, e incluyendo, la 2.0. Esta vulnerabilidad se debe a una validación incorrecta o ausente de nonce en la función ‘bmw_display_pv_set_page’ y a una insuficiente sanitización de entradas y escape de salidas del…
-
Vulnerabilidad de Cross-Site Scripting en Binary MLM Woocommerce <= 2.0 a través del parámetro 'page'
La vulnerabilidad CVE-2024-12384 afecta al plugin Binary MLM Woocommerce para WordPress, permitiendo a atacantes inyectar scripts maliciosos en páginas web si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting se debe a una insuficiente sanitización de entradas y escapado de salidas en…
-
Candifly <= 1.0.6 – Cross-Site Scripting Almacenado Autenticado (Colaborador+)
El plugin Candifly para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘candifly’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de colaborador y superior,…
-
Chatroll Live Chat <= 2.5.0 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Chatroll Live Chat para WordPress puede ser explotada por atacantes autenticados para insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario accede a esa página. La vulnerabilidad CVE-2024-12464, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta a todas…
-
FancyPost Vulnerable: Autorización Faltante en Exportación de Shortcode para Suscriptores+
El plugin FancyPost – Best Ultimate Post Block, Post Grid, Layouts, Carousel, Slider For Gutenberg & Elementor para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidades en la función handle_block_shortcode_export() en todas las versiones hasta, e incluyendo, 6.0.0. Esto permite que atacantes autenticados, con acceso de…
-
Host PHP Info <= 1.0.4 – Falta de Autorización para Divulgación No Autorizada de Información Sensible
El plugin Host PHP Info para WordPress es vulnerable a accesos no autorizados a datos debido a la falta de una verificación de capacidad al incluir la función ‘phpinfo’ en todas las versiones hasta, e incluyendo, la 1.0.4. Esto hace posible que atacantes no autenticados puedan leer configuraciones y variables predefinidas en el servidor del…
-
Vulnerabilidad de Cross-Site Scripting almacenado en SweepWidget Contests, Giveaways, Photo Contests, Competitions <= 2.0.6 – Autenticado (Colaborador+)
La vulnerabilidad CVE-2024-11756 permite a atacantes autenticados con acceso de colaborador o superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el shortcode ‘sweepwidget’ del plugin SweepWidget Contests, Giveaways, Photo Contests, Competitions hasta la versión 2.0.6. La falta de sanitización de entradas y escape de salidas en los atributos suministrados por los usuarios hace…