Ultimas Noticias
-
Relais 2FA <= 1.0 – Bypass de Autenticación
La vulnerabilidad de autenticación bypass en el plugin Relais 2FA para WordPress en versiones hasta, e incluyendo, 1.0 permite a atacantes no autenticados ingresar como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico. El plugin Relais 2FA para WordPress es vulnerable a bypass de autenticación en versiones hasta,…
-
JetWidgets For Elementor <= 1.0.18 – Cross-Site Scripting mediante carga de archivos SVG autenticados (Autor+)
La vulnerabilidad CVE-2024-10323 afecta al plugin JetWidgets For Elementor para WordPress, permitiendo a atacantes autenticados con acceso de Autor o superior, inyectar scripts web arbitrarios en páginas a través de la carga de archivos SVG. Esta vulnerabilidad se encuentra presente en todas las versiones hasta la 1.0.18 debido a una insuficiente sanitización de la entrada…
-
Slickstream: Engagement and Conversions <= 1.4.4 – Vulnerabilidad de Cross-Site Scripting almacenado a través del shortcode slick-grid
La vulnerabilidad CVE-2024-10179 afecta al plugin de WordPress Slickstream: Engagement and Conversions en versiones hasta la 1.4.4, permitiendo a atacantes autenticados inyectar scripts web maliciosos a través del shortcode slick-grid. La falta de sanitización de entrada y escape de salida en los atributos proporcionados por usuarios hace posible que atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en plugin Admin and Site Enhancements (ASE) <= 7.5.1
El plugin Admin and Site Enhancements (ASE) para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 7.5.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso a nivel personalizado y superior,…
-
Vulnerabilidad de Reflected Cross-Site Scripting en xili-tidy-tags <= 1.12.04
La vulnerabilidad xili-tidy-tags en WordPress permite a atacantes no autenticados realizar ataques de Cross-Site Scripting reflejado a través del parámetro ‘action’ en todas las versiones hasta 1.12.04. El plugin xili-tidy-tags para WordPress es vulnerable a Reflected Cross-Site Scripting debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite que atacantes no…
-
Futurio Extra <= 2.0.13 – Divulgación de Publicaciones Autenticadas (Contribuidor+)
La vulnerabilidad CVE-2024-10695 en el plugin Futurio Extra para WordPress permite a usuarios autenticados, con nivel de acceso de Contribuidor o superior, acceder a datos de publicaciones privadas o en borrador a través del shortcode ‘elementor-template’. La falta de restricciones adecuadas en el plugin Futurio Extra hasta la versión 2.0.13 permite a atacantes autenticados con…
-
Happy Addons for Elementor <= 3.12.5 – Cross-Site Scripting a través de la Comparación de Imágenes
El plugin Happy Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro before_label en el widget de Comparación de Imágenes en todas las versiones hasta, e incluyendo, 3.12.5 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor…