Ultimas Noticias
-
AA Cash Calculator <= 1.0 – XSS Reflejado a través del parámetro de factura
El plugin AA Cash Calculator para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘invoice’ en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Event Monster <= 1.3.4 – Inyección de Objetos PHP Autenticada(Contribuidor+) a través de Meta Personalizada
El plugin Event Monster – Event Management, Tickets Booking, Upcoming Event para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.4 a través de la deserialización vía shortcode de entrada no confiable de un valor meta personalizado. Esto permite a atacantes autenticados, con acceso de contribuidor y…
-
Vulnerabilidad de Acceso Incorrecto a la Exposición de Información Sensible a través de la API REST en Subway – Private Site Option <= 2.1.4
El plugin Subway – Private Site Option para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.1.4 a través de la API REST. Esto hace posible que atacantes no autenticados pasen por alto la función de sitio privado del plugin y vean contenido restringido de páginas…
-
Vulnerabilidad de Cross-Site Scripting en Inline Google Spreadsheet Viewer <= 0.13.2 a través de Shortcode Autenticado (Contribuidor+)
El plugin Inline Google Spreadsheet Viewer para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘gdoc’ en todas las versiones hasta, e incluyendo, 0.13.2 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario como ‘chart_resolution’. Esto permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Premium Addons for Elementor <= 4.10.30
La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en el plugin Premium Addons Pro for Elementor para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en las páginas, lo que puede comprometer la integridad…
-
Vulnerabilidad en ACF On-The-Go <= 1.0.1 – Actualización Arbitraria de Contenido sin Autorización para Usuarios Autenticados (Suscriptores+)
El plugin ACF On-The-Go para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función acfg_update_fields() en todas las versiones hasta, e incluyendo, la 1.0.1. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar títulos de publicaciones arbitrarias, descripciones…
-
Jeg Elementor Kit <= 2.6.4 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget de cuenta regresiva
El plugin Jeg Elementor Kit para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los atributos del widget de cuenta regresiva en todas las versiones hasta, e incluyendo, 2.6.4 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de contribuidor o superior,…