Ultimas Noticias
-
Galería de Imágenes – Subidas de Imágenes en Frontend, Lista de Fotos AJAX <= 1.5.22 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del shortcode videowhisper_picture_upload_guest
La vulnerabilidad CVE-2024-12696 afecta al plugin Picture Gallery – Frontend Image Uploads, AJAX Photo List para WordPress, permitiendo a atacantes autenticados con nivel de contributor o superior, inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a ellas. La versión 1.5.22 y anteriores del plugin Picture Gallery presentan una vulnerabilidad de…
-
Jet Engine <= 3.6.2 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro list_tag
La vulnerabilidad CVE-2025-0369 permite a atacantes autenticados con nivel de acceso Contributor y superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el plugin JetEngine hasta la versión 3.6.2. El plugin JetEngine para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘list_tag’ en todas las versiones hasta, e incluyendo, la 3.6.2…
-
Image Source Control Lite – Show Image Credits and Captions <= 2.28.0 – Cross-Site Scripting Reflejado
La vulnerable versión 2.28.0 del plugin Image Source Control Lite – Show Image Credits and Captions para WordPress presenta una vulnerabilidad de Cross-Site Scripting Reflejado debido a una insuficiente sanitización de entrada y escape de salida en el parámetro ‘path’. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Kubio AI Page Builder <= 2.3.5 – Cross-Site Scripting Reflejado
El plugin Kubio AI Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘message’ en todas las versiones hasta, e incluyendo, la 2.3.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a los atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
Podlove Podcast Publisher <= 4.1.25 – Cross-Site Scripting almacenado autenticado (Admin+) a través del nombre del feed
La vulnerabilidad CVE-2025-0554 afecta al plugin Podlove Podcast Publisher para WordPress en la versión <= 4.1.25. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados inyectar scripts web maliciosos en las páginas del sitio. El fallo de seguridad radica en la falta de sanitización de la entrada de datos y…
-
Ultimate Member – Plugin de Perfiles de Usuario, Registro, Inicio de Sesión, Directorio de Miembros, Restricción de Contenido y Membresía <= 2.9.1 – Exposición de Información
El plugin Ultimate Member para WordPress se encuentra vulnerable a la exposición de información en versiones hasta 2.9.1, lo que permite a atacantes no autenticados extraer datos de la tabla wp_usermeta a través de mensajes de error en las respuestas. La exposición de información a actores no autorizados puede ser un riesgo significativo para la…
-
Ultimate Member <= 2.9.1 – Inyección SQL no autenticada
La vulnerabilidad de Inyección SQL en el plugin Ultimate Member para WordPress, hasta la versión 2.9.1, permite a atacantes no autenticados realizar consultas maliciosas a la base de datos, poniendo en riesgo la seguridad de la información. La falta de escapado adecuado en el parámetro de búsqueda y la preparación insuficiente de la consulta SQL…