Ultimas Noticias
-
Collapsing Categories <= 3.0.8 – Inyección de SQL sin autenticación
El plugin Collapsing Categories para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘taxonomy’ de la API REST /wp-json/collapsing-categories/v1/get en todas las versiones hasta, e incluyendo, la 3.0.8 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente.…
-
Vulnerabilidad de Bypass de Autenticación en WPC Shop as a Customer for WooCommerce <= 1.2.8 Debido a Clave Insuficientemente Única
La vulnerabilidad CVE-2024-12432 se encuentra en el plugin de WordPress WPC Shop as a Customer for WooCommerce en todas las versiones hasta, e incluyendo, 1.2.8. Esta vulnerabilidad se debe a que la función ‘generate_key’ no produce un valor lo suficientemente aleatorio, lo que permite a atacantes autenticados con acceso de nivel Suscriptor o superior, iniciar…
-
Vulnerabilidad de XSS en AMP for WP – Accelerated Mobile Pages <= 1.1.1
La vulnerabilidad CVE-2024-11254 de AMP for WP – Accelerated Mobile Pages permite a atacantes inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de XSS en el plugin AMP for WP – Accelerated Mobile Pages para WordPress se debe…
-
Revelación de Información Sensible en el Plugin Accept Authorize.NET Payments Using Contact Form 7 <= 2.2
El plugin Accept Authorize.NET Payments Using Contact Form 7 para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 2.2 a través del archivo cf7adn-info.php. Esto permite que atacantes no autenticados extraigan datos de configuración que pueden ser utilizados para facilitar otros ataques. La vulnerabilidad CVE-2024-12250 en el…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Philantro – Donaciones y Gestión de Donantes <= 5.2 – Autenticado (Contributor+)
El plugin Philantro – Donaciones y Gestión de Donantes para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin como ‘donate’ en todas las versiones hasta la 5.2 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting en Taeggie Feed <= 0.1.9 para WordPress (Contribuidor+ autenticado)
La vulnerabilidad CVE-2024-11748 en el plugin Taeggie Feed para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas, lo que puede resultar en ataques de Cross-Site Scripting almacenado. El plugin Taeggie Feed para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘taeggie-feed’ en todas…
-
Video Share VOD – Script de construcción de sitios de video <= 2.6.30 – Cross-Site Scripting Almacenado Autenticado
El plugin Video Share VOD – Script de construcción de sitios de video para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘videowhisper_player_html’ en todas las versiones hasta, e incluyendo, la 2.6.30 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite…