Ultimas Noticias
-
Vulnerabilidad en Event Espresso 4 Decaf permite la modificación de ajustes del plugin sin autorización
La vulnerabilidad CVE-2024-6883, conocida como ‘Missing Authorization’, pone en riesgo la seguridad del plugin Event Espresso 4 Decaf en WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Suscriptor o superior modificar ajustes del plugin sin autorización. El plugin Event Espresso 4 Decaf – Event Registration Event Ticketing en WordPress es vulnerable…
-
Exposición de Información no Autenticada en Hide My Site <= 2.2
El plugin Hide My Site para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.2 debido a que el plugin no restringe el acceso a la API REST cuando la protección con contraseña está habilitada. Esto permite que atacantes no autenticados obtengan acceso no autorizado al…
-
Popup Maker <= 1.19.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘close_text’ en todas las versiones hasta, e incluyendo, la 1.19.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes…
-
Order Tracking <= 3.3.11 – Falta de Autorización a través de send_test_email()
El plugin Order Tracking para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función send_test_email() en versiones hasta, e incluyendo, la 3.3.11. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, puedan enviar correos de prueba. Es importante que…
-
Order Tracking <= 3.3.11 – Falta de Autorización a través de send_test_email()
El plugin Order Tracking para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función send_test_email() en las versiones hasta, e incluyendo, la 3.3.11. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, envíen correos electrónicos de prueba. Para subsanar este…
-
Vulnerabilidad de XSS almacenada en WP Last Modified Info <= 1.9.0
La vulnerabilidad CVE-2024-6864 permite a atacantes autenticados (Contributor+) llevar a cabo ataques de Cross-Site Scripting almacenado a través del shortcode lmt-post-modified-info en el plugin WP Last Modified Info para WordPress. La falta de sanitización de la entrada y escape de la salida en la versión 1.9.0 y anteriores del plugin permite a los atacantes inyectar…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Tutor LMS Elementor Addons <= 2.1.4 a través del widget Carrusel de Cursos
El plugin Tutor LMS Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘course_carousel_skin’ dentro del widget Carrusel de Cursos en todas las versiones hasta, e incluyendo, la 2.1.4 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a…