Ultimas Noticias
-
Vulnerabilidad de Autorización Ausente en WP Datepicker <= 2.1.0 para Usuarios Autenticados (Suscriptores+) para la Actualización Arbitraria de Opciones
La vulnerabilidad de autorización ausente en el plugin WP Datepicker para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función wpdp_add_new_datepicker_ajax() en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar opciones…
-
FileOrganizer y FileOrganizer Pro <= 1.0.6 – Cross-Site Scripting almacenado autenticado
El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos svg en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados inyecten scripts web arbitrarios…
-
Vulnerabilidad de Cross-Site Scripting en wpDiscuz <= 7.6.15 a través de Texto Alternativo de Imágenes Subidas
La vulnerabilidad CVE-2024-2477 en el plugin wpDiscuz para WordPress permite a atacantes con acceso de autor o superior inyectar scripts web arbitrarios en páginas, comprometiendo la seguridad del sitio. La vulnerabilidad de Cross-Site Scripting en wpDiscuz <= 7.6.15 se debe a una insuficiente sanitización de la entrada y escape de la salida en el campo…
-
Vulnerabilidad de Cross-Site Scripting en Schema & Structured Data for WP & AMP
La vulnerabilidad CVE-2024-3491 afecta al plugin Schema & Structured Data for WP & AMP para WordPress, permitiendo a atacantes autenticados con acceso de nivel contribuidor y superior realizar ataques de Cross-Site Scripting almacenado a través de los bloques ‘How To’ y ‘FAQ’. La falta de saneamiento de entrada y escape de salida en atributos proporcionados…
-
Rank Math SEO with AI SEO Tools <= 1.0.216 – Ataque de Scripting en Sitio Cruzado Almacenado Autenticado (Contribuidor+) a través de 'titleWrapper'
La vulnerabilidad CVE-2024-3665 permite a atacantes autenticados con acceso de contribuidor y superior ejecutar scripts web arbitrarios en páginas de WordPress usando el plugin Rank Math SEO with AI SEO Tools. El plugin Rank Math SEO with AI SEO Tools para WordPress es vulnerable a un ataque de Scripting en Sitio Cruzado Almacenado a través…
-
Plugin de Compartir en Redes Sociales – Social Warfare <= 4.4.6.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-1959 afecta al plugin Social Sharing Plugin – Social Warfare para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting almacenado reside en el shortcode ‘socialWarfare’ del plugin, el cual no realiza adecuadamente la sanitización de entradas y el escape…
-
GeoDirectory – Plugin de Directorio de Negocios para WordPress, Plugin de Directorio Clasificado <= 2.3.48 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de 'gd_single_tabs' Shortcode
El plugin GeoDirectory – WordPress Business Directory, o Classified Directory para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘gd_single_tabs’ en todas las versiones hasta, e incluyendo, la 2.3.48 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con…