Ultimas Noticias
-
PB oEmbed HTML5 Audio <= 2.6 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de shortcode
En este reporte de seguridad hablaremos sobre la vulnerabilidad en el plugin PB oEmbed HTML5 Audio – with Cache Support para WordPress. La vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas afectadas, lo que puede llevar a la ejecución de código malicioso en los sistemas de…
-
EmbedPress <= 3.9.8: Cross-Site Scripting almacenado autenticado (Contributor+) a través del enlace del widget de Google Calendar
El complemento EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps y cualquier documento en Gutenberg & Elementor para WordPress es vulnerable a ataques de Cross-Site Scripting almacenado a través del enlace del widget de Google Calendar. Esta vulnerabilidad afecta a todas las versiones hasta la 3.9.8 y permite a atacantes autenticados…
-
EmbedPress <= 3.9.8 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de Shortcode
El complemento EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps & Any Documents in Gutenberg & Elementor para WordPress es vulnerable a Cross-Site Scripting almacenada a través de los códigos cortos del complemento en todas las versiones hasta, e incluyendo, la 3.9.8 debido a la insuficiente sanitización de la entrada y…
-
Doofinder for WooCommerce <= 2.1.8 – XSS almacenado autenticado (Administrador+) a través de la configuración
El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la versión 2.1.8 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores,…
-
MyWaze <= 1.6 – Cross-Site Scripting almacenado (Contribuidor+) autenticado a través de shortcode
En este artículo se analiza una vulnerabilidad de Cross-Site Scripting almacenado en el plugin MyWaze para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cuando un usuario acceda a dichas páginas. El plugin MyWaze para WordPress, en sus versiones hasta…
-
Premium Addons for Elementor <= 4.10.18: Scripting entre sitios almacenado (Cross-Site Scripting) autenticado (Contributor+)
El complemento Premium Addons for Elementor para WordPress es vulnerable a Scripting entre sitios almacenado (Cross-Site Scripting) a través de la funcionalidad onClick del complemento en todas las versiones hasta la 4.10.18. Esto se debe a una insuficiente sanitización de la entrada y escape de salida en los eventos proporcionados por el usuario. Esto permite…
-
Landing Page Cat – Página de mantenimiento y squeeze pages <= 1.7.2 – Exposición de Información No Autenticada
En este informe de seguridad, se ha descubierto que el plugin Landing Page Cat – Página de mantenimiento y squeeze pages para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta la 1.7.2. Esto permite que atacantes no autenticados accedan a páginas de aterrizaje que pueden no ser públicas. La…