Ultimas Noticias
-
Booking Calendar WpDevArt <= 3.2.19 – Inyección SQL Autenticada (Contributor+)
La vulnerabilidad de Inyección SQL en el plugin Booking Calendar WpDevArt permite a atacantes autenticados (con acceso de nivel colaborador o superior) insertar consultas SQL adicionales en la base de datos, lo que podría resultar en la extracción de información sensible como contraseñas. El plugin Booking Calendar WpDevArt es vulnerable a una inyección SQL ciega…
-
Vulnerabilidad de Cross-Site Scripting en Text Prompter – Unlimited chatgpt text prompts for openai tasks <= 1.0.7
La vulnerabilidad CVE-2024-11896 afecta al plugin Text Prompter – Unlimited chatgpt text prompts for openai tasks en WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting almacenado. El plugin Text Prompter en versiones anteriores a la 1.0.7 no sanitiza correctamente la entrada de datos ni escapa la salida de atributos suministrados por el usuario, lo que…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Datepicker <= 2.1.4
La vulnerabilidad CVE-2024-12468 afecta al plugin WP Datepicker para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas si logran engañar a un usuario para que realice ciertas acciones, como hacer clic en un enlace. El plugin WP Datepicker…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Loan Comparison <= 2.0 para Usuarios Autenticados (Contributor+)
La vulnerabilidad CVE-2024-12814 en el plugin Loan Comparison para WordPress permite la ejecución de scripts maliciosos en páginas web debido a una incorrecta neutralización de la entrada de datos durante la generación de la página. El plugin Loan Comparison para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘loancomparison’ en todas las…
-
Vulnerabilidad en Print Invoice & Delivery Notes for WooCommerce <= 5.4.0 – Falta de Autorización para Eliminar el Logo
La vulnerabilidad CVE-2024-12210 en el plugin Print Invoice & Delivery Notes for WooCommerce para WordPress permite a usuarios autenticados con nivel de acceso de Suscriptor o superior eliminar el logo de la tienda de forma no autorizada. El plugin Print Invoice & Delivery Notes for WooCommerce hasta la versión 5.4.0 no realiza una verificación de…
-
NinjaTeam Chat for Telegram <= 1.0 – Cross-Site Scripting almacenado con autenticación (Contributor+)
El plugin NinjaTeam Chat for Telegram para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘njtele_button’ en todas las versiones hasta, e incluyendo, la 1.0 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador…
-
Protección contra Ataques de Fuerza Bruta en Advanced Google reCAPTCHA <= 1.25 – Desbloqueo de IP
El plugin Advanced Google reCAPTCHA para WordPress es vulnerable al desbloqueo de IP en todas las versiones hasta, e incluyendo, la 1.25. Esto se debe a que el plugin no utiliza una clave única fuerte al generar una solicitud de desbloqueo. Esto hace posible que atacantes no autenticados desbloqueen su IP después de ser bloqueados…