Ultimas Noticias
-
Radio Player <= 2.0.73 – Cross-Site Scripting Almacenado (Contributor+)
La vulnerabilidad CVE-2024-29811 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas a través del plugin Radio Player para WordPress. La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Radio Player para WordPress se debe a una sanitización insuficiente de la entrada y escapado de la salida. Esto…
-
Vulnerabilidad de XSS Almacenado en Simple Membership <= 4.4.3 a través de Shortcode
La vulnerabilidad CVE-2024-3730 descubierta en el plugin Simple Membership para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘swpm_paypal_subscription_cancel_link’. La falta de saneamiento de entrada y escape de salida en los atributos proporcionados por los usuarios en la versión 4.4.3 y anteriores…
-
Tutor LMS – Solución de eLearning y cursos en línea <= 2.6.2 – Scripting entre sitios almacenado autenticado (Contribuidor+) a través del Shortcode 'tutor_instructor_list'
El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a Scripting entre sitios almacenado a través del shortcode ‘tutor_instructor_list’ en todas las versiones hasta, e incluyendo, la 2.6.2 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto…
-
Vulnerabilidad de Cross-Site Scripting en Plugin de Galería de Imágenes para WordPress
El plugin Photo Gallery – GT3 Image Gallery & Gutenberg Block Gallery para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) que puede ser aprovechada por atacantes autenticados con nivel de autor o superior. La vulnerabilidad CVE-2024-4035, que afecta a las versiones hasta la 2.7.7.21 del plugin, se debe a una insuficiente sanitización…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.28
La vulnerabilidad de Cross-Site Scripting en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web maliciosos en páginas vulnerables. La versión 4.10.28 y anteriores del plugin Premium Addons for Elementor presentan una vulnerabilidad de Cross-Site Scripting almacenado a través del widget de…
-
Vulnerabilidad de Información Sensible en Essential Addons for Elementor <= 5.9.15
El plugin Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 5.9.15 a través de las funciones ajax_load_more(), eael_woo_pagination_product_ajax() y ajax_eael_product_gallery(). Esto permite a atacantes no autenticados extraer publicaciones que pueden estar en…
-
Vulnerabilidad en PropertyHive <= 2.0.12 permite la eliminación arbitraria de publicaciones sin autorización para Usuarios Autenticados (Suscriptores+)
En el plugin PropertyHive para WordPress se ha encontrado una vulnerabilidad que permite la pérdida de datos no autorizada debido a la falta de una verificación de capacidades en la función delete_key_date() en todas las versiones hasta, e incluyendo, la 2.0.12. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen…