Ultimas Noticias
-
WP Backpack <= 2.1 – Cross-Site Scripting Almacenado por Administradores Autenticados
El plugin WP Backpack para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 2.1 debido a una sanitización insuficiente de la entrada y la escape de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts…
-
WP Stacker <= 1.8.5 – Cross-Site Request Forgery a Cross-Site Scripting almacenado
El plugin WP Stacker para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, 1.8.5. Esto se debe a la falta o validación incorrecta de nonce en una función desconocida. Esto hace posible que atacantes no autenticados realicen una acción desconocida siempre que puedan engañar a un administrador del sitio…
-
Salon booking system <= 9.8 – Eliminación Arbitraria de Archivos sin Autenticación
La vulnerabilidad CVE-2024-4442 en el sistema de reserva de salones para WordPress permite la eliminación arbitraria de archivos sin autenticación en todas las versiones hasta la 9.8. Esto se debe a que el plugin no valida adecuadamente la ruta de un archivo cargado antes de eliminarlo. Esto permite que atacantes no autenticados eliminen archivos arbitrarios,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Uber Menu <= 3.8.2
El plugin UberMenu para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ubermenu-col, ubermenu_mobile_close_button, ubermenu_toggle, ubermenu-search en todas las versiones hasta, e incluyendo, la 3.8.2. La falta de sanitización de entrada y escape de salida en atributos suministrados por el usuario hace posible que atacantes autenticados, con acceso de nivel contribuyente…
-
Master Slider – Responsive Touch Slider <= 3.9.9 – Cross-Site Scripting por Usuario Autenticado (Contributor+)
El plugin Master Slider – Responsive Touch Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ms_slide_info’ en todas las versiones hasta la 3.9.9 debido a una insuficiente sanitización de entradas y escape de salida en el atributo ‘tag_name’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Logo Slider <= 3.9.9 – Cross-Site Scripting almacenado para usuarios autenticados (Contributor+)
El plugin Logo Slider – Logo Carousel, Logo Showcase & Client Logo Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros de encabezado y subtítulo en todas las versiones hasta la 3.9.9 debido a una sanitización insuficiente de la entrada y al escape insuficiente de la salida. Esto permite que…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Combo Blocks para WordPress
El plugin Combo Blocks para WordPress hasta la versión 2.2.80 es vulnerable a un Cross-Site Scripting (XSS) almacenado, lo que puede permitir a atacantes autenticados inyectar scripts maliciosos en páginas del sitio. La vulnerabilidad CVE-2024-3155 se debe a la insuficiente sanitización de entradas y escape de salidas en varios parámetros del plugin Post Grid, Form…