Ultimas Noticias
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.25.9 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Configuraciones de Tipografía
El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de las Configuraciones de Tipografía en todas las versiones hasta, e incluyendo, 3.25.9 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a…
-
Easy Digital Downloads <= 3.3.2 – Descarga Arbitraria de Archivos (Admin+)
El plugin de Easy Digital Downloads para WordPress es vulnerable a la Travesía de Directorios en todas las versiones hasta la 3.3.2 a través de la funcionalidad de descarga de archivos. Esto permite a atacantes autenticados, con nivel de acceso de Administrador o superior, leer el contenido de archivos arbitrarios en el servidor, los cuales…
-
Element Pack Elementor Addons <= 5.10.12 – Falta de Autorización
El plugin Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid, Carousel y Remote Arrows) para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de verificación de capacidades en la función get_layouts() en todas las versiones hasta, e incluyendo, la 5.10.12. Esto permite que atacantes autenticados, con acceso…
-
Barter <= 1.6 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Contribuidores+)
El tema Barter para WordPress es vulnerable a Cross-Site Scripting Almacenado en versiones hasta, e incluyendo, 1.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a…
-
PCRecruiter Extensions <= 1.4.10 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin PCRecruiter Extensions para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘PCRecruiter’ en todas las versiones hasta, e incluyendo, la 1.4.10 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…
-
WP Project Manager <= 2.6.15 – Divulgación de Información Sensible a través de la API REST de la Lista de Tareas del Proyecto
El complemento WP Project Manager para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6.15 a través del punto final de la API REST de la Lista de Tareas del Proyecto (‘/wp-json/pm/v2/projects/1/task-lists’). Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, extraer datos…
-
AutomatorWP <= 5.0.9 – XSS reflejado a través de a-0-o-search_field_value
El plugin AutomatorWP para automatizaciones sin código, webhooks e integraciones personalizadas en WordPress es vulnerable a XSS reflejado a través del parámetro ‘a-0-o-search_field_value’ en todas las versiones hasta, e incluyendo, 5.0.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…