Ultimas Noticias
-
Vulnerabilidad en Active Products Tables for WooCommerce permite ejecución de código arbitrario a través de un shortcode no autenticado
La vulnerabilidad CVE-2024-10959, catalogada como ‘Improper Control of Generation of Code (‘Code Injection’)’, afecta al plugin The Active Products Tables for WooCommerce. Use constructor to create tables en su versión 1.0.6.5 y anteriores. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes arbitrarios a través de la acción AJAX woot_get_smth. La vulnerabilidad radica en la…
-
iChart – Vulnerabilidad de Cross-Site Scripting almacenado (XSS) en versión <= 2.1.0 para usuarios autenticados (Contributor+)
El plugin iChart – Easy Charts and Graphs para WordPress es vulnerable a un Cross-Site Scripting almacenado a través del parámetro ‘width’ en todas las versiones hasta, e incluyendo, la 2.1.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y…
-
Email Reminders <= 2.0.4 – Cross-Site Scripting mediante el parámetro id
El complemento Email Reminders para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 2.0.4 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad XSS Reflejada en Quran multilenguaje Text & Audio <= 2.3.21 a través de los parámetros sourate y lang
El plugin Quran multilenguaje Text & Audio para WordPress es vulnerable a XSS reflejado a través de los parámetros ‘sourate’ y ‘lang’ en todas las versiones hasta, e incluyendo, la 2.3.21 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que…
-
Calculadora de Hipotecas de Property Hive <= 1.0.6 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Parámetro de Precio
El plugin Property Hive Mortgage Calculator para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘price’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad de Traversal de Directorios en el Mejor Plugin de Galería de WordPress – FooGallery <= 2.4.16 – Autenticado (Contribuidor+) Traversal de Directorios
El plugin Best WordPress Gallery – FooGallery para WordPress es vulnerable a la Traversal de Directorios en todas las versiones hasta, e incluyendo, la 2.4.26. Esto hace posible que atacantes autenticados, con nivel de contribuidor o superior, puedan leer el contenido de carpetas arbitrarias en el servidor, lo que puede contener información sensible como la…
-
Vulnerabilidad en WPForms 1.8.4 – 1.9.2.1 – Falta de Autorización para Reembolsos de Pagos y Cancelación de Suscripciones
La vulnerabilidad CVE-2024-11205 encontrada en el plugin WPForms para WordPress permite a usuarios autenticados con nivel Subscriber o superior realizar reembolsos de pagos y cancelar suscripciones sin la autorización adecuada. El plugin WPForms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función…