Ultimas Noticias
-
Elementor Header & Footer Builder <= 1.6.26 – Cross-Site Scripting con Autenticación
El plugin Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo size en todas las versiones hasta, e incluyendo, la 1.6.26 debido a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes autenticados, con acceso de colaborador…
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Go Maps (anteriormente WP Google Maps) <= 9.0.36 para usuarios autenticados (Contributor+) a través de Shortcode
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin WP Go Maps (anteriormente WP Google Maps) para WordPress afecta a todas las versiones hasta la 9.0.36, permitiendo a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin WP Go Maps no realiza una suficiente…
-
Bypass de Autenticación en Pie Register – Social Sites Login (Add on)
El plugin Pie Register – Social Sites Login (Add on) para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 1.7.7. Esta vulnerabilidad se debe a una verificación insuficiente del usuario proporcionado durante un inicio de sesión social a través del plugin. Esto hace posible que atacantes no autenticados…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Videojs HTML5 Player <= 1.1.11 a través del shortcode videojs_video
La vulnerabilidad CVE-2024-5205 permite a atacantes autenticados con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que ejecutarán cuando un usuario acceda a la página comprometida. El plugin Videojs HTML5 Player para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode videojs_video en todas las versiones hasta, e…
-
WP-ViperGB <= 1.6.1 – Cross-Site Request Forgery
El plugin WP-ViperGB para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.6.1. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce al guardar la configuración del plugin. Esto permite a atacantes no autenticados cambiar la configuración del plugin a través de una solicitud falsificada,…
-
Vulnerabilidad de Inyección de Objetos PHP no Autenticada en Hash Form – Constructor de Formularios de Arrastrar y Soltar <= 1.1.0
La vulnerabilidad de inyección de objetos PHP en el plugin Hash Form – Constructor de Formularios de Arrastrar y Soltar para WordPress en versiones hasta 1.1.0 permite a atacantes no autenticados inyectar un Objeto PHP utilizando la deserialización de datos no confiables en la función ‘process_entry’. Esto podría permitir a los atacantes eliminar archivos arbitrarios,…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Spectra – WordPress Gutenberg Blocks <= 2.12.8
La vulnerabilidad CVE-2024-1814 afecta al plugin Spectra – WordPress Gutenberg Blocks en su versión 2.12.8 y anteriores, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del bloque de Testimonios del plugin. El plugin Spectra – WordPress Gutenberg Blocks es vulnerable a ataques de Cross-Site Scripting…