Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en WP ULike <= 4.6.9
El plugin WP ULike – Most Advanced WordPress Marketing Toolkit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de visualización de un usuario en todas las versiones hasta, e incluyendo, la 4.6.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de…
-
Vulnerabilidad en Admin Bar Remover <= 1.0.2.2 – Falta de Autorización para Actualizar Configuraciones (Suscriptor+)
El plugin Admin Bar Remover para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función update_form() en todas las versiones hasta, e incluyendo, la 1.0.2.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, habilitar o deshabilitar la barra…
-
Header Footer Code Manager Pro <= 1.0.16 – XSS Reflejado a través del parámetro message
El plugin Header Footer Code Manager Pro para WordPress es vulnerable a XSS reflejado a través del parámetro message en todas las versiones hasta, e incluyendo, la 1.0.16 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si…
-
ElementsKit Pro <= 3.6.0 – Inclusión Local de Archivos Autenticada (Contrinutor+) a través de Widgets de Price Menu, Hotspot y Advanced Toggle
El plugin ElementsKit Pro para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.6.0 a través de los widgets Price Menu, Hotspot y Advanced Toggle. Esto permite a atacantes autenticados, con niveles de acceso de contribuidor y superiores, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo…
-
WP STAGING <= 3.4.3 y WP STAGING Pro <= 5.4.3 – Exposición de Información Sensible a través de Archivos de Registro
En este reporte se detalla una vulnerabilidad de exposición de información sensible en los plugins WP STAGING y WP STAGING Pro para WordPress en versiones hasta, e incluyendo, 3.4.3 y 5.4.3 respectivamente. Esta vulnerabilidad puede permitir a atacantes no autenticados extraer datos sensibles de un archivo de registro, incluyendo información del sistema y (en la…
-
Virtue <= 3.4.8 – XSS Almacenado Autenticado (Contribuidor+) a través del Autor del Post
La vulnerabilidad CVE-2024-4034 afecta al tema de WordPress Virtue en su versión 3.4.8 y anteriores, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar Cross-Site Scripting almacenado a través del nombre del autor de un post. La falta de saneamiento de entradas y la falta de escape de salidas en la funcionalidad de…
-
Vulnerabilidad en Product Addons & Fields for WooCommerce <= 32.0.18 permite la Subida de Archivos Arbitrarios no Autenticados a través de ppom_upload_file
La vulnerabilidad CVE-2024-3962 en el plugin Product Addons & Fields for WooCommerce para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ppom_upload_file en todas las versiones hasta, e incluyendo, 32.0.18. Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio…