Ultimas Noticias
-
Elementor Addon Elements <= 1.13.3 – Cross-Site Scripting Almacenado (Contributor+)
El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets Image Stack Group, Shape Separator, Content Switcher, Info Circle y Timeline en todas las versiones hasta 1.13.3 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida. Esto permite que atacantes autenticados, con…
-
Analytify <= 5.2.1 – Falta de Autorización para Modificación de ID de Seguimiento de Google Analytics no Autenticada
El plugin Analytify – Google Analytics Dashboard For WordPress para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘wpa_check_authentication’ en todas las versiones hasta, e incluyendo, la 5.2.1. Esto permite a atacantes no autenticados modificar el ID de seguimiento de Google…
-
Getwid – Gutenberg Blocks <= 2.0.7 – XSS almacenado autenticado (Contribuidor+) basado en DOM a través de 'Countdown'
El plugin Getwid – Gutenberg Blocks para WordPress es vulnerable a XSS almacenado a través del bloque de Countdown en todas las versiones hasta, e incluyendo, la 2.0.7 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuidor…
-
Qi Addons For Elementor <= 1.7.0 – Cross-Site Scripting Authenticated (Colaborador+) a través del widget de cuenta regresiva
El complemento de Qi Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los atributos del widget de cuenta regresiva en todas las versiones hasta 1.7.0 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de colaborador y superior, inyectar scripts…
-
Tutor LMS <= 2.6.2 – Falta de Autorización para Actualizar Opciones Limitadas sin Autenticación
El plugin Tutor LMS – solución de eLearning y cursos en línea para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función hide_notices en todas las versiones hasta, e incluyendo, la 2.6.2. Esto permite a atacantes no autenticados habilitar el registro de…
-
Vulnerabilidad de Inyección SQL en Timetable and Event Schedule by MotoPress <= 2.4.11 – Autenticado (Contributor+)
El plugin Timetable and Event Schedule by MotoPress para WordPress es vulnerable a Inyección SQL a través del atributo ‘events’ del shortcode ‘mp-timetable’ en todas las versiones hasta, e incluyendo, la 2.4.11 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto…
-
Spectra – WordPress Gutenberg Blocks <= 2.12.6 – Traversal de Ruta (Path Traversal) Autenticado (Contribuidor+)
El plugin Spectra – WordPress Gutenberg Blocks para WordPress es vulnerable a Traversal de Ruta (Path Traversal) en versiones hasta, e incluyendo, 2.12.6 a través de la función get_block_default_attributes. Esto permite a atacantes autenticados, con permisos de nivel contribuidor y superiores, leer el contenido de cualquier archivo llamado attributes.php en el servidor, que puede contener…