Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Jeg Elementor Kit <= 2.6.4 a través de JKit – Banner
El plugin Jeg Elementor Kit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget JKit – Banner en todas las versiones hasta, e incluyendo, la 2.6.4 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con acceso de nivel contribuyente…
-
Vulnerabilidad de divulgación de información sensible sin autenticación en Contact Form 7 Database Addon – CFDB7 <= 1.2.6.8
La vulnerabilidad de divulgación de información sensible sin autenticación en el complemento Contact Form 7 Database Addon – CFDB7 puede permitir a atacantes no autenticados extraer datos sensibles, como información de identificación personal, de archivos subidos por los usuarios. El complemento Contact Form 7 Database Addon – CFDB7 para WordPress es vulnerable a la divulgación…
-
Vulnerabilidad en BackUpWordPress <= 3.13 – Traversal de Directorio Autenticado (Admin+)
El plugin BackUpWordPress para WordPress es vulnerable a la Traversal de Directorio en todas las versiones hasta, e incluyendo, la 3.13 a través del parámetro hmbkp_directory_browse. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, atravesar directorios fuera del contexto en el que el plugin debería permitir. Los usuarios afectados por esta…
-
Vulnerabilidad de Inyección SQL en WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado <= 4.6.9 – Autenticado (Contributor+) a través de Shortcodes
El plugin WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado es vulnerable a Inyección SQL a través de los atributos ‘status’ e ‘id’ de los shortcodes ‘wp_ulike_counter’ y ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a un escape insuficiente en el parámetro suministrado por el usuario y…
-
Form Maker by 10Web <= 1.15.24 – Autenticado (Suscriptor+) Almacenado Self-Based Cross-Site Scripting
La vulnerabilidad CVE-2024-2258 en el plugin Form Maker by 10Web para WordPress permite a atacantes autenticados con nivel de suscriptor o superior inyectar scripts web arbitrarios en páginas del sitio. La falta de saneamiento de la entrada y de escape de la salida en el plugin Form Maker by 10Web – Mobile-Friendly Drag & Drop…
-
Vulnerabilidad de Cross-Site Scripting en WP ULike <= 4.6.9 a través de Shortcode
El plugin WP ULike para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a una insuficiente sanitización de entrada y escape de salida en el atributo ‘wrapper_class’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en WPC Composite Products para WooCommerce <= 7.2.7
La vulnerabilidad conocida como ‘Cross-Site Scripting’ (XSS) en el plugin WPC Composite Products para WooCommerce en versiones hasta la 7.2.7 permite a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web. El plugin WPC Composite Products para WooCommerce es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘wooco_components[0][name]’ en todas las versiones hasta…