Ultimas Noticias
-
Elementor Addon Elements <= 1.12.12 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget Content Switcher
El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘icon_align’ del widget Content Switcher en todas las versiones hasta, e incluyendo, 1.12.12 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder <= 2.7.4.2 a través del Widget de Icono
La vulnerabilidad CVE-2024-0871 en el plugin Beaver Builder para WordPress permite a atacantes almacenar código malicioso en páginas web que será ejecutado cuando un usuario acceda a la página comprometida. La versión 2.7.4.2 y anteriores de Beaver Builder son vulnerables a Cross-Site Scripting (XSS) debido a la insuficiente sanitización de entradas y escape de salida…
-
File Manager Pro <= 8.3.4 – Cross-Site Scripting Reflejado
El plugin File Manager Pro para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘tb’ en todas las versiones hasta, e incluyendo, la 8.3.4 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran…
-
Vulnerabilidad de Reflected (DOM-Based) Cross-Site Scripting en Beaver Builder – WordPress Page Builder <= 2.7.4.2
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado (DOM-Based) a través de un parámetro ‘playground.wordpress.net’ en todas las versiones hasta, e incluyendo, la 2.7.4.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios…
-
Beaver Builder – WordPress Page Builder <= 2.7.4.2 – Cross-Site Scripting (XSS) Almacenado para Usuarios Autenticados (Contributor+)
El plugin de Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro de URL de imagen en todas las versiones hasta, e incluyendo, 2.7.4.2 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor…
-
Constructor de Formularios de Contacto con arrastrar y soltar para WordPress – Kali Forms <= 2.3.41 – Falta de Autorización para la Desactivación Arbitraria de Plugins
La vulnerabilidad identificada en el plugin para WordPress ‘Contact Form builder with drag & drop for WordPress – Kali Forms’ hasta la versión 2.3.41 permite a atacantes autenticados, con acceso de suscriptor o superior, desactivar cualquier plugin activo de forma no autorizada. La función await_plugin_deactivation carece de una verificación de capacidades, lo que permite a…
-
Constructor de formularios de contacto con arrastrar y soltar para WordPress – Kali Forms <= 2.3.41 – Autorización faltante
El complemento Constructor de formularios de contacto con arrastrar y soltar para WordPress – Kali Forms es vulnerable a accesos no autorizados y modificaciones de datos a través de la API debido a una verificación inconsistente de capacidades en varios endpoints REST en todas las versiones hasta, e incluyendo, la 2.3.41. Esto permite que atacantes…