Ultimas Noticias
-
Vulnerabilidad de Inyección SQL en WP ERP | Solución de recursos humanos completa con reclutamiento y listados de empleo | WooCommerce CRM y Contabilidad <= 1.13.1 – Autenticado (AccountingManager+)
La vulnerabilidad CVE-2024-1173 en el plugin WP ERP para WordPress permite a atacantes autenticados llevar a cabo un ataque de Inyección SQL, lo que puede resultar en la extracción de información sensible de la base de datos del sitio web. La versión 1.13.1 y anteriores de WP ERP son vulnerables a Inyección SQL basada en…
-
Vulnerabilidad de XSS almacenado en Master Addons para Elementor <= 2.0.5.9 – Contributor+
El plugin Master Addons – Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor para WordPress es vulnerable a XSS almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, la 2.0.5.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con permisos de nivel de contribuidor…
-
Booster for WooCommerce <= 7.1.8 – Ejecución de Código no Autenticado Arbitrario
El plugin Booster for WooCommerce es vulnerable a la Ejecución de Código no Autenticado Arbitrario en versiones hasta, e incluyendo, la 7.1.8. Esto permite a atacantes no autenticados ejecutar shortcodes arbitrarios. La gravedad y explotabilidad dependen de los demás plugins instalados y la funcionalidad de shortcode que proporcionan. La vulnerabilidad en el plugin Booster for…
-
Vulnerabilidad de Cross-Site Scripting en Piotnet Addons For Elementor Pro
La vulnerabilidad en el plugin Piotnet Addons For Elementor Pro para WordPress, hasta la versión 7.1.17, permite a atacantes autenticados inyectar scripts web maliciosos en páginas, pudiendo comprometer la seguridad de los usuarios. La falta de sanitización de entrada y escape de salida en el plugin Piotnet Addons For Elementor Pro para WordPress hasta la…
-
Piotnet Addons For Elementor Pro <= 7.1.17 – Cross-Site Request Forgery
El plugin Piotnet Addons For Elementor Pro para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 7.1.17. Esto se debe a la falta o validación incorrecta de nonce en una función. Esto permite a atacantes no autenticados realizar una acción no autorizada a través de una solicitud falsificada, siempre y cuando…
-
Sydney Toolbox <= 1.30 – Cross-Site Scripting (XSS) Almacenado por Usuarios Autenticados
La vulnerabilidad CVE-2024-4036 afecta al plugin Sydney Toolbox para WordPress, permitiendo a usuarios autenticados con permisos de contributor o superiores realizar ataques de Cross-Site Scripting almacenado. El plugin Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de estilo en todas las versiones hasta, e incluyendo, la 1.30 debido a…
-
Vulnerabilidad de carga de archivos arbitrarios en All-in-One Video Gallery <= 3.6.4 – Autenticado (Contribuidor+) Subida de Archivos a través de imagen destacada
La vulnerabilidad CVE-2024-4033 permite a atacantes autenticados cargar archivos arbitrarios en servidores de sitios afectados por el plugin All-in-One Video Gallery para WordPress, lo que puede resultar en la ejecución remota de código. El plugin All-in-One Video Gallery para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de…