Ultimas Noticias
-
Traductor Automático con Google Translate <= 1.5.4 – Usuario Autenticado (Administrador+) Almacenado Cross-Site Scripting a través de Fuente Personalizada
El plugin Automatic Translator with Google Translate para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de fuente personalizada en todas las versiones hasta, e incluyendo, la 1.5.4 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts…
-
LuckyWP Table of Contents <= 2.1.4 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad CVE-2024-2953 afecta al plugin LuckyWP Table of Contents para WordPress, permitiendo a atacantes autenticados con permisos de Contributor o superiores inyectar scripts web arbitrarios en páginas vulnerables. La versión 2.1.4 y anteriores del plugin LuckyWP Table of Contents carecen de una adecuada sanitización de entrada y escape de salida, lo que facilita la…
-
NextScripts: Social Networks Auto-Poster <= 4.4.3 – CSRF para Eliminación Arbitraria de Publicaciones
El plugin NextScripts: Social Networks Auto-Poster para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.4.3. Esta vulnerabilidad se debe a la falta o validación incorrecta del nonce en la página nxssnap-reposter. Esto permite que atacantes no autenticados eliminen publicaciones o páginas arbitrarias mediante una solicitud falsificada, siempre…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin WP Font Awesome Share Icons <= 1.1.1
El plugin WP Font Awesome Share Icons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpfai_social’ en todas las versiones hasta, e incluyendo, la 1.1.1 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
WP Scraper <= 5.7 – Falta de Autorización para la Creación Arbitraria de Páginas y Posts
El plugin de WP Scraper para WordPress es vulnerable a un acceso no autorizado debido a la falta de comprobación de capacidades en la función wp_scraper_multi_scrape_action() en todas las versiones hasta, e incluyendo, la 5.7. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, puedan crear páginas y posts arbitrarios. Para…
-
Print-O-Matic <= 2.1.10 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Print-O-Matic para WordPress permite a atacantes autenticados inyectar scripts maliciosos en las páginas del sitio web, poniendo en riesgo a los usuarios que acceden a dichas páginas. La versión 2.1.10 y anteriores del plugin Print-O-Matic son vulnerables a Cross-Site Scripting almacenado a través del shortcode ‘print-me’,…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Opal Estate Pro – Property Management and Submission <= 1.7.6
En este reporte de seguridad se detalla una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Opal Estate Pro – Property Management and Submission para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas del sitio que se ejecutarán cuando un usuario acceda a dicha…