Ultimas Noticias
-
Popup Box – Mejor Plugin de Popups para WordPress <= 4.3.6 – Falta de Autorización para Exposición de Información
El plugin Popup Box – Mejor Plugin de Popups para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de verificación de capacidades en la acción AJAX ays_pb_create_author en todas las versiones hasta, e incluyendo, la 4.3.6. Esto permite que atacantes no autenticados enumeren todos los correos electrónicos registrados en el…
-
Vulnerabilidad en el Plugin de Anuncios Clasificados y Directorio de Negocios <= 3.0.10.3 – Falta Autorización para Borrar Adjuntos Arbitrarios
La vulnerabilidad CVE-2024-3893 se ha descubierto en el Plugin de Anuncios Clasificados y Directorio de Negocios para WordPress, la cual permite la pérdida no autorizada de datos debido a la falta de una verificación de capacidad en la acción AJAX rtcl_fb_gallery_image_delete en todas las versiones hasta, e incluyendo, la 3.0.10.3. Esto posibilita que atacantes autenticados,…
-
CM Tooltip Glossary – Potente Plugin de Glosario <= 4.2.11 – Falsificación de Petición en Sitio Cruzado
El plugin CM Tooltip Glossary – Potente Plugin de Glosario para WordPress es vulnerable a Falsificación de Petición en Sitio Cruzado en todas las versiones hasta, e incluyendo, la 4.2.11. Esto se debe a la validación incorrecta o ausente de nonce al guardar ajustes. Esto hace posible que atacantes no autenticados cambien la configuración del…
-
Interactive World Maps <= 2.4.14 – Cross-Site Scripting Reflejado
El plugin Interactive World Maps para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro de búsqueda (s) en todas las versiones hasta, e incluyendo, la 2.4.14 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecuten…
-
PDF Invoices & Packing Slips for WooCommerce <= 3.8.0 – SSRF sin autenticación
El plugin PDF Invoices & Packing Slips for WooCommerce para WordPress es vulnerable a Server-Side Request Forgery en versiones hasta, e incluyendo, la 3.8.0 a través de la función transform(). Esto puede permitir a atacantes sin autenticación realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede ser utilizado para consultar y…
-
PDF Invoices & Packing Slips for WooCommerce <= 3.8.0 – Cross-Site Scripting sin Autenticación
El plugin PDF Invoices & Packing Slips for WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través de varios parámetros en versiones hasta, e incluyendo, la 3.8.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Cornerstone <= 0.8.0 – Cross-Site Scripting Reflejado
El plugin Cornerstone para WordPress es vulnerable a Cross-Site Scripting Reflejado en todas las versiones hasta, e incluyendo, la 0.8.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice…