Ultimas Noticias
-
Vulnerabilidad CSRF en HQ Rental Software <= 1.5.29 permite la actualización arbitraria de opciones
La vulnerabilidad de Solicitud Falsificada entre Sitios (CSRF) en el plugin HQ Rental Software para WordPress afecta a todas las versiones hasta la 1.5.29. Esta vulnerabilidad se debe a una validación de nonce incorrecta o ausente en la función displaySettingsPage(). Esto permite a atacantes no autenticados actualizar opciones arbitrarias que pueden ser utilizadas para la…
-
Vulnerabilidad de Cross-Site Scripting en Surbma | SalesAutopilot Shortcode <= 2.0
El plugin Surbma | SalesAutopilot Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sa-form’ en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Reflejo de Cross-Site Scripting en Website Toolbox Community <= 2.0.1 a través de websitetoolbox_username
El plugin Website Toolbox Community para WordPress es vulnerable a Reflejo de Cross-Site Scripting a través del parámetro ‘websitetoolbox_username’ en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
Ultimate Endpoints With Rest Api <= 2.2.2 – Cross-Site Scripting Reflejado
El plugin Ultimate Endpoints With Rest Api para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 2.2.2 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Horizontal scroll image slideshow <= 10.1 para usuarios autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-11442 afecta al plugin de WordPress Horizontal scroll image slideshow, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Horizontal scroll image slideshow para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘horizontal-scroll-image-slideshow’ en todas las versiones hasta, e incluyendo, la 10.1 debido a una insuficiente sanitización…
-
Fallo de Autenticación en Sign In With Google <= 1.8.0 – Bypass de Autenticación en authenticate_user
El plugin Sign In With Google para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 1.8.0. Esto se debe a que la función de usuario ‘authenticate_user’ no implementa suficientes comprobaciones de valores nulos al establecer el token de acceso y la información del usuario. Esto hace posible…
-
SQL Chart Builder <= 2.3.6 – Inyección de SQL Autenticada (Contribuidor+)
El plugin SQL Chart Builder para WordPress es vulnerable a Inyección de SQL a través del argumento ‘arg1’ del shortcode ‘gvn_schart_2’ en todas las versiones hasta, e incluyendo, la 2.3.6 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite…