Ultimas Noticias
-
Widgets de Crypto y DeFi – Vulnerabilidad de Cross-Site Scripting en Web3 Cryptocurrency Shortcodes <= 1.1.6
La vulnerabilidad de Cross-Site Scripting en el plugin de WordPress Crypto and DeFi Widgets – Web3 Cryptocurrency Shortcodes permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad CVE-2024-11365 se debe a una neutralización inapropiada…
-
Page Parts <= 1.4.3 – Cross-Site Scripting Reflejado
El plugin Page Parts para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de remove_query_arg sin un escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.4.3. Esto hace posible que atacantes no autenticados puedan inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
Vulnerabilidad en el plugin Lock User Account <= 1.0.5 – Bypass de Bloqueo de Usuario
El plugin Lock User Account para WordPress es vulnerable a un bypass de bloqueo de usuario en todas las versiones hasta, e incluyendo, la 1.0.5. Esto se debe a que permite iniciar sesión con contraseñas de aplicación cuando las cuentas de usuario están bloqueadas. Esto hace posible que atacantes autenticados, con contraseñas de aplicación existentes,…
-
Vulnerabilidad de Co-marquage service-public.fr <= 0.5.76 – Cross-Site Scripting reflejado a través del parámetro add_query_arg
El plugin de Co-marquage service-public.fr para WordPress es vulnerable a Cross-Site Scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 0.5.76. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarían si logran engañar con éxito a…
-
Paquetes Premium – Vende Productos Digitales de forma Segura <= 5.9.3 – Scripting entre Sitios Almacenado Autenticado (Contributor+) a través del Shortcode wpdmpp_pay_link
La vulnerabilidad CVE-2024-10164 afecta al plugin Premium Packages – Sell Digital Products Securely para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web maliciosos en las páginas del sitio. El plugin Premium Packages – Sell Digital Products Securely en versiones anteriores a la 5.9.3 no realiza una sanitización adecuada de…
-
Bard Extra <= 1.2.7 – Falta de Autorización para la Importación Demo
El plugin Bard Extra para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función bardxtra_import_xml() en todas las versiones hasta, e incluyendo, la 1.2.7. Esto permite a atacantes autenticados, con accesos de nivel de suscriptor y superiores, importar datos de demostración. Los usuarios…
-
WPBakery Visual Composer WHMCS Elements <= 1.0.4 – XSS almacenado autenticado a través del shortcode void_wbwhmcse_laouts_search
El plugin WPBakery Visual Composer WHMCS Elements para WordPress es vulnerable a XSS almacenado a través del shortcode void_wbwhmcse_laouts_search en todas las versiones hasta, e incluyendo, la 1.0.4 debido a la insuficiente sanitización de la entrada y escape de salida en atributos suministrados por usuarios. Esto permite a atacantes autenticados, con acceso de nivel de…