Ultimas Noticias
-
Country State City Dropdown CF7 <= 2.7.1 – Falta de Autorización
El plugin Country State City Dropdown CF7 para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función tc_csca_patch_settings en todas las versiones hasta, e incluyendo, la 2.7.1. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, añadan estados o ciudades…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Real Media Library <= 4.22.11
El plugin Real Media Library: Media Library Folder & File Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del título de la imagen y el texto alt en todas las versiones hasta, e incluyendo, la 4.22.11 debido a una sanitización insuficiente de la entrada y escape del resultado. Esto permite a atacantes…
-
Vulnerabilidad de Cross-Site Scripting en Exclusive Addons for Elementor <= 2.6.9.2
El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘exad_infobox_animating_mask_style’ en todas las versiones hasta, e incluyendo, la 2.6.9.2 debido a una validación inadecuada de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts…
-
Vulnerabilidad de Cross-Site Scripting en Enhanced Media Library <= 2.8.9 para WordPress
La vulnerabilidad CVE-2024-2840 afecta al plugin Enhanced Media Library para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas web. La versión 2.8.9 y anteriores del plugin Enhanced Media Library para WordPress son vulnerables a Cross-Site Scripting (XSS) almacenado a través de la funcionalidad de carga de contenido multimedia. Esta vulnerabilidad se debe a…
-
Icegram Express – Email Subscribers, Boletines y Plugin de Automatización de Marketing <= 5.7.14 – Inyección SQL no autenticada
El plugin Email Subscribers de Icegram Express – Email Marketing, Boletines, Automatización para WordPress y WooCommerce para WordPress es vulnerable a Inyección SQL a través de la función ‘run’ de la clase ‘IG_ES_Subscribers_Query’ en todas las versiones hasta, e incluyendo, la 5.7.14 debido a un escape insuficiente en el parámetro proporcionado por el usuario y…
-
Vulnerabilidad de XSS almacenado en WPC Smart Quick View for WooCommerce <= 4.0.2
El plugin WPC Smart Quick View for WooCommerce para WordPress es vulnerable a XSS almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 4.0.2 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores,…
-
WPZOOM Social Feed Widget & Block <= 2.1.13 – Falta de Autorización para Eliminar Imágenes de Instagram Autenticadas (Suscriptor+)
El plugin WPZOOM Social Feed Widget & Block para WordPress es vulnerable a accesos no autorizados debido a una falta de verificación de capacidades en la función wpzoom_instagram_clear_data() en todas las versiones hasta, e incluyendo, la 2.1.13. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen todas las imágenes de Instagram…