Ultimas Noticias
-
Vulnerabilidad de Inyección de Objetos PHP Autenticada en Lightbox slider – Responsive Lightbox Gallery <= 1.9.9
La vulnerabilidad de inyección de objetos PHP en el plugin de WordPress Lightbox slider – Responsive Lightbox Gallery hasta la versión 1.9.9 permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar un objeto PHP a través de la deserialización de datos no confiables a través de los metadatos de la entrada. Esta…
-
Vulnerabilidad en OceanWP <= 3.5.4 – Exposición de Información Sensible a través de Inclusión Limitada de Archivos Locales
La vulnerabilidad de Missing Authorization en el tema OceanWP para WordPress permite el acceso no autorizado a datos sensibles debido a la falta de una verificación de capacidad en la función load_theme_panel_pane en todas las versiones hasta, e incluyendo, la 3.5.4. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior,…
-
Sydney Toolbox <= 1.26 – XSS almacenado autenticado (Contributor+) a través de _id
La vulnerabilidad CVE-2024-2936 en el plugin Sydney Toolbox para WordPress permite a atacantes autenticados con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo _id de los…
-
Ninja Forms Contact Form – El Constructor de Formularios Arrastrar y Soltar para WordPress <= 3.8.0 – Cross-Site Scripting Almacenado Autenticado (Autor+)
El plugin Ninja Forms Contact Form – El Constructor de Formularios Arrastrar y Soltar para WordPress es vulnerable a Cross-Site Scripting almacenado a través de un título de imagen incrustado en un formulario en todas las versiones hasta, e incluyendo, la 3.8.0 debido a una insuficiente sanitización de la entrada y escape de la salida.…
-
Button <= 1.1.28 – Inyección de Objeto PHP Autenticada (Contribuidor+) en button_shortcode
El plugin Button para WordPress es vulnerable a la Inyección de Objeto PHP en todas las versiones hasta, e incluyendo, la 1.1.28 a través de la deserialización de datos no seguros en la función button_shortcode. Esto permite a atacantes autenticados, con nivel de acceso de contribuidor y superior, inyectar un Objeto PHP. No se conoce…
-
Vulnerabilidad de Cross-Site Scripting en Better Elementor Addons <= 1.4.1 para WordPress
El plugin Better Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los valores de URL del widget en todas las versiones hasta, e incluyendo, 1.4.1 debido a una sanitización insuficiente de la entrada y a la escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados…
-
Radio Player <= 2.0.73 – Falta de autorización a través de get_players
El plugin Radio Player para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidades en la función ‘get_players’ en las versiones hasta, e incluyendo, la 2.0.73. Esto permite que atacantes no autenticados recuperen una lista de reproductores de radio. Los usuarios afectados por esta vulnerabilidad deben…