Ultimas Noticias
-
Easy Digital Downloads 3.1 – 3.3.4 – Problema de Autorización Incorrecta para Evitar la Barrera de Pago
El plugin Easy Digital Downloads para WordPress es vulnerable a una Autorización Incorrecta en las versiones 3.1 a través de 3.3.4. Esto se debe a la falta de suficientes comprobaciones de validación dentro de la función ‘verify_guest_email’ para asegurar que el usuario solicitante es el destinatario previsto del recibo de compra. Esto hace posible que…
-
Vulnerabilidad de Cross-Site Scripting en WooCommerce Additional Fees On Checkout (Free) <= 1.4.7
El plugin WooCommerce Additional Fees On Checkout (Free) para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘number’ en todas las versiones hasta, e incluyendo, la 1.4.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas…
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 4.0.5.3 – Cross-Site Scripting Almacenado no Autenticado a través del Nombre de la Categoría de Entrada y Tipo de Entrada
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros em_ticket_category_data y em_ticket_individual_data en todas las versiones hasta, e incluyendo, la 4.0.5.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
s2Member – Vulnerabilidad de Divulgación de Información Sensible (CVE-2024-8326)
El plugin s2Member para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta la 241114. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel Contribuidor o superior extraer datos sensibles, incluyendo información de usuarios y configuración de la base de datos, lo que puede llevar a la lectura, actualización…
-
Vulnerabilidad de Cross-Site Scripting en Sikshya LMS Plugin para WordPress
El plugin Learning Management System, eLearning, Course Builder, WordPress LMS Plugin – Sikshya LMS para WordPress presenta una vulnerabilidad de Cross-Site Scripting reflejado a través del parámetro ‘page’ en versiones hasta 0.0.21, lo que podría permitir a atacantes inyectar scripts web arbitrarios en páginas de manera maliciosa. La vulnerabilidad CVE-2024-12127 se debe a una sanitización…
-
Vulnerabilidad de Cross-Site Scripting en el plugin WP BASE Booking of Appointments, Services and Events <= 4.9.1
El plugin WP BASE Booking of Appointments, Services and Events para WordPress es vulnerable a un tipo de ataque de Cross-Site Scripting (XSS) conocido como Reflected XSS a través del parámetro ‘status’ en todas las versiones hasta, e incluyendo, la 4.9.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a…
-
Vulnerabilidad en Memberful <= 1.73.9 permite la exposición de información sensible a actores no autorizados
La vulnerabilidad en el plugin de WordPress Memberful hasta la versión 1.73.9 permite la exposición de información sensible a través de la función de búsqueda del core de WordPress. Esto posibilita que atacantes no autenticados puedan extraer datos sensibles de publicaciones restringidas a roles de nivel superior como miembros del sitio. La CVE identificada como…