Ultimas Noticias
-
Shortcodes Blocks Creator Ultimate <= 2.2.0 – XSS Reflejado a través de 'page'
El plugin Shortcodes Blocks Creator Ultimate para WordPress es vulnerable a XSS reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 2.2.0 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Comfino Payment Gateway <= 4.1.1
La vulnerabilidad CVE-2024-11329, también conocida como Reflected Cross-Site Scripting, afecta al plugin Comfino Payment Gateway para WordPress. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. La causa de esta vulnerabilidad…
-
Vulnerabilidad de XSS reflejado en Mollie for Contact Form 7 <= 5.0.0
El plugin Mollie for Contact Form 7 para WordPress es vulnerable a XSS reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 5.0.0 debido a una sanitización insuficiente de entradas y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
Filtro de Mensajes para Contact Form 7 <= 1.6.3 – Falta de Autorización para Crear Nuevos Filtros por Usuarios Autenticados (Suscriptor+)
El plugin Message Filter for Contact Form 7 para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función saveFilter() en todas las versiones hasta, e incluyendo, la 1.6.3. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, crear nuevos filtros.…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Persian WooCommerce SMS para WordPress
El plugin افزونه پیامک ووکامرس Persian WooCommerce SMS para WordPress es vulnerable a Cross-Site Scripting reflejado debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, 7.0.5. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario…
-
Vulnerabilidad en Plugin Pojo Forms <= 1.4.7 permite la Ejecución de Shortcodes Arbitrarios (Suscriptor+)
El plugin Pojo Forms para WordPress es vulnerable a la ejecución arbitraria de shortcodes a través de la acción AJAX form_preview_shortcode en todas las versiones hasta, e incluyendo, la 1.4.7. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto…
-
Verowa Connect <= 3.0.1 – Inyección SQL sin autenticación
La vulnerabilidad de SQL Injection en el plugin Verowa Connect para WordPress, hasta la versión 3.0.1, permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos. La versión 3.0.1 del plugin Verowa Connect para WordPress es vulnerable a SQL Injection a través del…