Ultimas Noticias
-
Gestor de Códigos de Seguimiento <= 2.3.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress Tracking Code Manager hasta la versión 2.3.0 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página comprometida. La vulnerabilidad se debe a una sanitización insuficiente de la entrada y escape de salida en…
-
Content No Cache: evita que cierto contenido sea almacenado en caché <= 0.1.2 – Divulgación de contenido privado no autenticado
El plugin Content No Cache: evita que cierto contenido sea almacenado en caché para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, la 0.1.2 a través de la acción eos_dyn_get_content debido a restricciones insuficientes sobre qué publicaciones pueden incluirse. Esto hace posible que atacantes no autenticados extraigan datos…
-
Respaldo de Base de Datos y Verificación de Tablas Automatizados con Programador 2024 <= 2.32 – Lectura de Archivos Arbitrarios Autenticada (Admin+)
El plugin Database Backup and check Tables Automated With Scheduler 2024 para WordPress es vulnerable a Traversal de Directorio en todas las versiones hasta, e incluyendo, la 2.32 a través de la función database_backup_ajax_download(). Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, leer el contenido de archivos arbitrarios en el servidor,…
-
Booking Calendar WpDevArt <= 3.2.19 – Inyección SQL Autenticada (Contributor+)
La vulnerabilidad de Inyección SQL en el plugin Booking Calendar WpDevArt permite a atacantes autenticados (con acceso de nivel colaborador o superior) insertar consultas SQL adicionales en la base de datos, lo que podría resultar en la extracción de información sensible como contraseñas. El plugin Booking Calendar WpDevArt es vulnerable a una inyección SQL ciega…
-
Vulnerabilidad de Cross-Site Scripting en Text Prompter – Unlimited chatgpt text prompts for openai tasks <= 1.0.7
La vulnerabilidad CVE-2024-11896 afecta al plugin Text Prompter – Unlimited chatgpt text prompts for openai tasks en WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting almacenado. El plugin Text Prompter en versiones anteriores a la 1.0.7 no sanitiza correctamente la entrada de datos ni escapa la salida de atributos suministrados por el usuario, lo que…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Datepicker <= 2.1.4
La vulnerabilidad CVE-2024-12468 afecta al plugin WP Datepicker para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas si logran engañar a un usuario para que realice ciertas acciones, como hacer clic en un enlace. El plugin WP Datepicker…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Loan Comparison <= 2.0 para Usuarios Autenticados (Contributor+)
La vulnerabilidad CVE-2024-12814 en el plugin Loan Comparison para WordPress permite la ejecución de scripts maliciosos en páginas web debido a una incorrecta neutralización de la entrada de datos durante la generación de la página. El plugin Loan Comparison para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘loancomparison’ en todas las…