Ultimas Noticias
-
Colibri Page Builder <= 1.0.272 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Shortcode 'colibri_breadcrumb_element'
La vulnerabilidad CVE-2024-3337 está presente en el plugin Colibri Page Builder para WordPress en sus versiones hasta la 1.0.272. Esta vulnerabilidad de Cross-Site Scripting almacenado permite a atacantes autenticados con nivel de acceso de contribuidor y superior inyectar scripts web arbitrarios en las páginas, que se ejecutarán cada vez que un usuario acceda a la…
-
Colibri Page Builder <= 1.0.272 – Cross-Site Scripting almacenado autenticado (Contribuidor +) a través del shortcode 'colibri-gallery-slideshow'
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Colibri Page Builder para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio, lo que puede comprometer la seguridad de los usuarios. El plugin Colibri Page Builder para WordPress es vulnerable al Cross-Site Scripting almacenado a través del shortcode ‘colibri-gallery-slideshow’ en…
-
WordPress Backup & Migration <= 1.4.8 – Falta de Autorización para Traversal de Directorios
El plugin WordPress Backup & Migration para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función wp_mgdp_populate_popup en todas las versiones hasta, e incluyendo, la 1.4.8. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, invocar esta función y acceder a…
-
Exclusive Addons para Elementor <= 2.6.9.4 – Cross-Site Scripting almacenado autenticado (Colaborador+) a través del widget Call to Action
El plugin Exclusive Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Call to Action en todas las versiones hasta, e incluyendo, la 2.6.9.3 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Exclusive Addons for Elementor <= 2.6.9.3 – Cross-Site Scripting a través del Widget de Botón para Usuarios Autenticados (Contribuidor+)
El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo URL del widget de Botón en todas las versiones hasta, e incluyendo, 2.6.9.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts…
-
Vulnerabilidad de Cross-Site Scripting en Exclusive Addons for Elementor <= 2.6.9.4
La vulnerabilidad CVE-2024-3489 en Exclusive Addons for Elementor permite a atacantes inyectar scripts maliciosos en páginas web de WordPress a través del título de Countdown Expired. El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del título de Countdown Expired en todas las versiones hasta, e incluyendo, 2.6.9.4…
-
Vulnerabilidad de Inyección SQL en rtMedia for WordPress, BuddyPress y bbPress <= 4.6.18 a través de rtmedia_gallery Shortcode
La vulnerabilidad CVE-2024-3293 denominada Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) afecta al plugin rtMedia for WordPress, BuddyPress y bbPress en versiones hasta la 4.6.18. Esta vulnerabilidad de inyección SQL permite a atacantes autenticados con nivel de contribuidor o superior, añadir consultas SQL adicionales en consultas existentes para extraer información…