Ultimas Noticias
-
Jet Engine <= 3.6.2 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro list_tag
La vulnerabilidad CVE-2025-0369 permite a atacantes autenticados con nivel de acceso Contributor y superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el plugin JetEngine hasta la versión 3.6.2. El plugin JetEngine para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘list_tag’ en todas las versiones hasta, e incluyendo, la 3.6.2…
-
Image Source Control Lite – Show Image Credits and Captions <= 2.28.0 – Cross-Site Scripting Reflejado
La vulnerable versión 2.28.0 del plugin Image Source Control Lite – Show Image Credits and Captions para WordPress presenta una vulnerabilidad de Cross-Site Scripting Reflejado debido a una insuficiente sanitización de entrada y escape de salida en el parámetro ‘path’. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Kubio AI Page Builder <= 2.3.5 – Cross-Site Scripting Reflejado
El plugin Kubio AI Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘message’ en todas las versiones hasta, e incluyendo, la 2.3.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a los atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
Podlove Podcast Publisher <= 4.1.25 – Cross-Site Scripting almacenado autenticado (Admin+) a través del nombre del feed
La vulnerabilidad CVE-2025-0554 afecta al plugin Podlove Podcast Publisher para WordPress en la versión <= 4.1.25. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados inyectar scripts web maliciosos en las páginas del sitio. El fallo de seguridad radica en la falta de sanitización de la entrada de datos y…
-
Ultimate Member – Plugin de Perfiles de Usuario, Registro, Inicio de Sesión, Directorio de Miembros, Restricción de Contenido y Membresía <= 2.9.1 – Exposición de Información
El plugin Ultimate Member para WordPress se encuentra vulnerable a la exposición de información en versiones hasta 2.9.1, lo que permite a atacantes no autenticados extraer datos de la tabla wp_usermeta a través de mensajes de error en las respuestas. La exposición de información a actores no autorizados puede ser un riesgo significativo para la…
-
Ultimate Member <= 2.9.1 – Inyección SQL no autenticada
La vulnerabilidad de Inyección SQL en el plugin Ultimate Member para WordPress, hasta la versión 2.9.1, permite a atacantes no autenticados realizar consultas maliciosas a la base de datos, poniendo en riesgo la seguridad de la información. La falta de escapado adecuado en el parámetro de búsqueda y la preparación insuficiente de la consulta SQL…
-
Vulnerabilidad en Evergreen Content Poster – Eliminación Arbitraria de Publicaciones Sin Autorización
La vulnerabilidad de Missing Authorization en el plugin Evergreen Content Poster para WordPress permite a atacantes no autenticados eliminar publicaciones y páginas de forma arbitraria. La función delete_network_post() en las versiones hasta 1.4.4 de este plugin no realiza una verificación de capacidades, lo que permite a cualquier usuario no autenticado eliminar contenido sin autorización. Esto…