Ultimas Noticias
-
Testimonial Carousel For Elementor <= 10.2.0 – Falta de Autorización para Actualización de Configuración Limitada
El plugin Testimonial Carousel For Elementor para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidad en la función ‘save_testimonials_option_callback’ en versiones hasta, e incluyendo, la 10.2.0. Esto permite que atacantes no autenticados actualicen la clave de la API de OpenAI, deshabilitando la función. Los usuarios…
-
Vulnerabilidad de XSS almacenado en el plugin Reviews and Rating – Google Reviews <= 5.2
El plugin Reviews and Rating – Google Reviews para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga de archivos del plugin en todas las versiones hasta, e incluyendo, la 5.2 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el complemento Primary Addon for Elementor <= 1.5.5 a través del widget de Tabla de Precios
El complemento Primary Addon for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Tabla de Precios del complemento en todas las versiones hasta, e incluyendo, la 1.5.5 debido a una insuficiente sanitización de entradas y escape de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de XSS Almacenado en ND Shortcodes <= 7.5 – Autenticado (Autor+)
El plugin ND Shortcodes para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga del plugin en todas las versiones hasta, e incluyendo, la 7.5 debido a una sanitización de entrada insuficiente y falta de escapado de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior,…
-
YITH WooCommerce Ajax Search <= 2.4.0 – Cross-Site Scripting sin autenticación almacenado
El plugin YITH WooCommerce Ajax Search para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘item’ en versiones hasta, e incluyendo, 2.4.0 debido a la insuficiente sanitización de la entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que…
-
WP Photo Album Plus <= 8.7.02.003 – Ejecución de Shortcode Arbitrario sin Autenticación
El plugin WP Photo Album Plus para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 8.7.02.003. Esto se debe a que el plugin permite a usuarios no autenticados ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes…
-
Spectra – Gutenberg Blocks de WordPress <= 2.13.0 – Cross-Site Scripting Almacenado Autenticado (Autor+)
La vulnerabilidad CVE-2024-4366 en el plugin Spectra – Gutenberg Blocks para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web, pudiendo comprometer la seguridad de los usuarios. El plugin Spectra – Gutenberg Blocks para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro ‘block_id’ en versiones hasta la 2.13.0 debido…