Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Icon Widget <= 1.3.0
La vulnerabilidad CVE-2024-1993, también conocida como Improper Neutralization of Script-Related HTML Tags en una página web (XSS básico), afecta al plugin Icon Widget para WordPress en versiones hasta 1.3.0. El plugin Icon Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en hCaptcha para WordPress <= 4.0.0 a través de cf7-hcaptcha Shortcode
La vulnerabilidad CVE-2024-4014 en el plugin hCaptcha for WordPress permite a atacantes autenticados con privilegios de contributor o superiores inyectar scripts web maliciosos en páginas de WordPress. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin hCaptcha for WordPress hasta la versión 4.0.0 se debe a la falta de saneamiento de entrada y escape de…
-
Vulnerabilidad de Subida de Archivos sin Autenticación en Royal Elementor Addons and Templates <= 1.3.94
El plugin Royal Elementor Addons and Templates para WordPress es vulnerable a subidas limitadas de archivos debido a la falta de validación de tipos de archivos en la función ‘file_validity’ en todas las versiones hasta, e incluyendo, la 1.3.94. Esto permite que atacantes no autenticados suban tipos de archivos peligrosos como .svgz en el servidor…
-
Vulnerabilidad en SmartCrawl WordPress SEO checker, SEO analyzer, SEO optimizer <= 3.10.2 – Falta de Autorización
La vulnerabilidad conocida como Missing Authorization en el plugin SmartCrawl WordPress SEO checker, SEO analyzer, SEO optimizer permite a atacantes sin autenticar inyectar descripciones ld+json no autorizadas, pudiendo guardar tipos de esquemas sin permiso. El problema radica en la función save_settings de todas las versiones hasta la 3.10.2, donde no se realiza una verificación de…
-
MaxGalleria <= 6.4.2 – Falta de Autorización
El plugin MaxGalleria para WordPress es vulnerable a la carga no autorizada de imágenes debido a la falta de una verificación de capacidades en la función add_media_library_images_to_gallery en todas las versiones hasta, e incluyendo, la 6.4.2. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, suban imágenes arbitrarias a una galería. Los usuarios…
-
User Registration – Plugin de WordPress Vulnerable a Escalada de Privilegios
El plugin User Registration – Custom Registration Form, Login Form, and User Profile para WordPress es vulnerable a escalada de privilegios debido a la falta de comprobación de capacidades en la función form_save_action() en todas las versiones hasta, e incluyendo, la 3.1.5. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar…
-
Frontend Admin by DynamiApps <= 3.19.4 – Manipulación de Formularios debido a un Manejo Incorrecto de Excepciones de Encriptación Ausente
El plugin Frontend Admin by DynamiApps para WordPress es vulnerable a un manejo incorrecto de excepciones de encriptación ausente en la función ‘fea_encrypt’ en todas las versiones hasta, e incluyendo, la 3.19.4. Esto permite a atacantes no autenticados manipular los formularios de procesamiento de usuarios, lo que puede utilizarse para agregar y editar usuarios administradores…