Ultimas Noticias
-
Ultimate Coming Soon & Maintenance <= 1.0.9 – Falta de autorización para la actualización de nombres de plantillas
El plugin Ultimate Coming Soon & Maintenance para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘ucsm_update_template_name_lite’ en todas las versiones hasta, e incluyendo, la 1.0.9. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, cambien el nombre…
-
Ultimate Coming Soon & Maintenance <= 1.0.9 – Falta de Autorización para Activación de Plantilla no Autenticada
El plugin Ultimate Coming Soon & Maintenance para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ucsm_activate_lite_template_lite en todas las versiones hasta, e incluyendo, la 1.0.9. Esto permite que atacantes no autenticados cambien la plantilla utilizada para la página de pròximamente /…
-
Vulnerabilidad de Cross-Site Request Forgery en CLUEVO LMS, E-Learning Platform
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin CLUEVO LMS, E-Learning Platform para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.13.2. Esto se debe a una validación incorrecta o ausente de nonce en la función cluevo_render_module_ui(). Esto permite a atacantes no autenticados eliminar módulos mediante una solicitud falsificada, siempre y…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Smart PopUp Blaster <= 1.4.3
La vulnerabilidad en el plugin Smart PopUp Blaster para WordPress, hasta la versión 1.4.3, permite a atacantes autenticados con nivel de acceso de colaborador o superior, insertar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página comprometida. La vulnerabilidad CVE-2024-11339 en Smart PopUp Blaster es debida a la insuficiente sanitización de…
-
Vulnerabilidad de Cross-Site Scripting en WP Media Optimizer (.webp) <= 1.4.0
El plugin WP Media Optimizer (.webp) para WordPress es vulnerable a un ataque de Cross-Site Scripting reflejado a través de los parámetros ‘wpmowebp-css-resources’ y ‘wpmowebp-js-resources’ en todas las versiones hasta, e incluyendo, la 1.4.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios…
-
Vulnerabilidad en Splash Sync <= 2.0.6 – Cross-Site Scripting Reflejado
El plugin Splash Sync para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.0.6. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar con éxito a un…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Cookielay <= 1.2.0 para usuarios autenticados (Contributor+)
La vulnerabilidad CVE-2024-10320 en el plugin Cookielay para WordPress permite a atacantes autenticados con nivel de acceso contributor o superior inyectar scripts maliciosos en páginas a través del shortcode cookielay, poniendo en riesgo la seguridad de los usuarios del sitio. La versión 1.2.0 y anteriores del plugin Cookielay presentan un fallo de tipo Stored Cross-Site…