Ultimas Noticias
-
Country State City Dropdown CF7 <= 2.7.2 – Inyección de SQL no autenticada
La vulnerabilidad de inyección de SQL en el plugin Country State City Dropdown CF7 para WordPress, en versiones hasta, e incluyendo, 2.7.2 permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos. La vulnerabilidad CVE-2024-3495, denominada ‘Improper Neutralization of…
-
ApplyOnline – Constructor y Administrador de Formularios de Aplicación <= 2.6 – Falta de Autorización para la Exposición de Información Sensible
El plugin ApplyOnline – Constructor y Administrador de Formularios de Aplicación para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de una comprobación de capacidad en la acción AJAX aol_modal_box en todas las versiones hasta, e incluyendo, la 2.6. Esto permite a atacantes autenticados, con acceso de suscriptor o…
-
SiteOrigin Widgets Bundle <= 1.60.0 – Cross-Site Scripting a través del shortcode 'siteorigin_widget' (Autenticado como Contributor+)
El plugin SiteOrigin Widgets Bundle para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘siteorigin_widget’ en todas las versiones hasta, e incluyendo, la 1.60.0 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor…
-
Vulnerabilidad de Cross-Site Scripting almacenado en MemberPress <= 1.11.29
La vulnerabilidad CVE-2024-5025 encontrada en el plugin MemberPress para WordPress, permite a atacantes autenticados con nivel de Contributor o superior, inyectar scripts web arbitrarios en páginas, lo que puede resultar en la ejecución de scripts maliciosos cuando un usuario accede a dicha página. La vulnerabilidad de Cross-Site Scripting almacenado en MemberPress <= 1.11.29 se produce…
-
Vulnerabilidad en MemberPress <= 1.11.29 – SSRF a través de shortcode mepr-user-file
El plugin Memberpress para WordPress es vulnerable a Server-Side Request Forgery (SSRF) en todas las versiones hasta, e incluyendo, la 1.11.29 a través del shortcode ‘mepr-user-file’. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, realicen solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y pueden ser utilizadas para consultar…
-
Vulnerabilidad de Cross-Site Scripting en WPB Elementor Addons <= 1.0.9
El plugin WPB Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en todas las versiones hasta, e incluyendo, 1.0.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad de XSS Reflejado en LuckyWP Table of Contents <= 2.1.4
La vulnerabilidad CVE-2024-2119 afecta al plugin LuckyWP Table of Contents para WordPress, permitiendo a atacantes insertar scripts maliciosos en páginas web si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de XSS reflejado en LuckyWP Table of Contents hasta la versión 2.1.4 se debe a…