Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Paid Membership Plugin para WordPress
La vulnerabilidad CVE-2024-1519 afecta al plugin Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress en versiones hasta la 4.14.4. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad de Cross-Site…
-
ProfilePress <= 4.14.4 – Cross-Site Scripting almacenado autenticado (Colaborador+) a través del shortcode [edit-profile-text-box]
El plugin Paid Membership, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode edit-profile-text-box en todas las versiones hasta la 4.14.4 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el…
-
Vulnerabilidad de Cross-Site Scripting en WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.2
La vulnerabilidad CVE-2024-1510 afecta al plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores, inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting se produce debido a una sanitización insuficiente de la entrada de usuario y el escape de salida en los atributos…
-
PJ News Ticker <= 6.8.10 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de shortcode
En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento PJ News Ticker para WordPress. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts maliciosos en páginas web, lo que puede llevar a ataques de Cross-Site Scripting almacenado. Esta vulnerabilidad afecta a todas las versiones hasta la 6.8.10 del complemento. El complemento PJ…
-
MasterStudy LMS Plugin de WordPress: Inyección de SQL no autenticada
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyección de SQL no autenticada. Esta vulnerabilidad podría ser aprovechada por atacantes no autenticados para extraer información sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin – for Online Courses and Education, en…
-
TNC PDF viewer <= 2.8.0 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de shortcode
En este reporte de seguridad se ha encontrado una vulnerabilidad en el complemento TNC PDF viewer para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos en páginas, lo que puede llevar a ataques de Cross-Site Scripting almacenada. El complemento TNC PDF viewer versiones 2.8.0 y anteriores…
-
Piraeus Bank WooCommerce Payment Gateway <= 1.6.5.1 – Inyección SQL no autenticada
El complemento del Piraeus Bank WooCommerce Payment Gateway para WordPress es vulnerable a una inyección SQL basada en el tiempo a través del parámetro ‘MerchantReference’ en todas las versiones hasta, e incluyendo, la 1.6.5.1 debido a un escapado insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta…