Ultimas Noticias
-
Vulnerabilidad de Inyección SQL Autenticada en WP SMTP 1.2 – 1.2.6
La vulnerabilidad CVE-2024-1789 en el plugin WP SMTP para WordPress permite a atacantes autenticados, con nivel de acceso de administrador o superior, realizar Inyección SQL a través del parámetro ‘search’ en las versiones 1.2 a 1.2.6. Esto puede conducir a la extracción de información sensible de la base de datos. La falta de escape adecuado…
-
The Plus Addons for Elementor <= 5.4.2 – Cross-Site Scripting (XSS) Almacenado Autenticado a través de Atributos Personalizados
La vulnerabilidad CVE-2024-3197 en el plugin The Plus Addons for Elementor permite a atacantes autenticados realizar ataques de Cross-Site Scripting (XSS) almacenado a través de atributos personalizados en los widgets del plugin, lo que puede comprometer la seguridad de tu sitio WordPress. El plugin The Plus Addons for Elementor en versiones hasta la 5.4.2 es…
-
Happy Addons para Elementor <= 3.10.6 – Cross-Site Scripting Almacenado Autenticado (Colaborador+) a través del Widget Calendly
El plugin Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Calendly en todas las versiones hasta, e incluyendo, la 3.10.5 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Blog2Social: Social Media Auto Post & Scheduler <= 7.4.2 – Exposición de Información
El plugin Blog2Social: Social Media Auto Post & Scheduler para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 7.4.2. Esto permite que atacantes no autenticados puedan ver información limitada de publicaciones protegidas con contraseña. La falta de autorización en el plugin Blog2Social: Social Media Auto Post…
-
Vulnerabilidad de Almacenamiento no Protegido de Archivos Potencialmente Sensibles en WP-Members Membership Plugin <= 3.4.9.3
El plugin WP-Members Membership Plugin para WordPress es vulnerable a la Exposición de Información en todas las versiones hasta, e incluyendo, 3.4.9.3 debido a que el plugin sube archivos proporcionados por el usuario a un directorio públicamente accesible en wp-content sin restricciones. Esto permite a atacantes no autenticados ver archivos subidos por otros usuarios que…
-
ARForms Form Builder <= 1.6.4 – Falta de Autorización para Eliminación Arbitraria de Opciones por Usuarios Autenticados (Suscriptor+)
El complemento para formularios de contacto, encuestas y formularios emergentes para WordPress – ARForms Form Builder plugin para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘arflite_remove_preview_data’ en todas las versiones hasta, e incluyendo, la 1.6.4. Esto permite a atacantes autenticados,…
-
The Plus Addons para Elementor <= 5.4.2 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget de cuenta regresiva
La vulnerabilidad CVE-2024-3199 se presenta en el plugin The Plus Addons para Elementor en su versión 5.4.2 y anteriores, permitiendo a atacantes autenticados con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada. La falta de sanitización y escape de…