Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Slider comparison image before and after <= 0.8.3
El plugin Slider comparison image before and after para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode [sciba] del plugin en todas las versiones hasta, e incluyendo, la 0.8.3 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite que…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Nova Blocks by Pixelgrade <= 2.1.7
La vulnerabilidad CVE-2024-8241 en el plugin Nova Blocks by Pixelgrade para WordPress permite a atacantes autenticados realizar Cross-Site Scripting almacenado a través del atributo ‘align’ del bloque ‘wp:separator’ de Gutenberg en todas las versiones hasta, e incluyendo, la 2.1.7. La falta de sanitización de entradas y escape de salida en atributos suministrados por usuarios hace…
-
Community by PeepSo – Vulnerabilidad de Cross-Site Scripting Almacenado (CVE-2024-7655)
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Community by PeepSo para WordPress puede permitir a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos en páginas del sitio. La vulnerabilidad afecta a todas las versiones del plugin hasta la 6.4.5.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto…
-
Community by PeepSo – Vulnerabilidad de Cross-Site Scripting almacenado para Administradores a través del parámetro ‘content’
El plugin Community by PeepSo – Social Network, Membership, Registration, User Profiles para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘content’ en todas las versiones hasta, e incluyendo, 6.4.5.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar…
-
Frontend Dashboard <= 2.2.4 – Llamada Arbitraria a Funciones (Subscriber+ Autenticado)
El plugin Frontend Dashboard para WordPress es vulnerable a la ejecución de código no autorizado debido a un filtrado insuficiente en los métodos/funciones llamables a través de la función ajax_request() en todas las versiones hasta, e incluyendo, la 2.2.4. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, llamar a funciones arbitrarias…
-
Affiliate Super Assistent <= 1.5.3 – Ejecución de Shortcodes Arbitrarios sin Autenticación
El plugin Affiliate Super Assistent para WordPress es vulnerable a la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 1.5.3. Esto se debe a que el software permite a los usuarios suministrar shortcodes arbitrarios en los comentarios cuando la opción ‘Parse comments’ está habilitada. Esto hace posible que atacantes no autenticados…
-
Pinpoint Booking System <= 2.9.9.5.0- Inyección SQL Autenticada (Suscriptor+)
El plugin Pinpoint Booking System – #1 WordPress Booking Plugin para WordPress es vulnerable a Inyección SQL a través del parámetro ‘schedule’ en todas las versiones hasta, e incluyendo, la 2.9.9.5.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente.…