Ultimas Noticias
-
Contadores Animados <= 2.0 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin de Contadores Animados para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘animatedcounter’ en todas las versiones hasta la 2.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente o…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Slope Widgets <= 4.2.11
La vulnerabilidad CVE-2024-11902 en el plugin de WordPress Slope Widgets permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts maliciosos en páginas web que se ejecutarán cuando un usuario acceda a esa página. El plugin Slope Widgets para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘slope-reservations’ en todas…
-
Integración de CRM Perks – WordPress HelpDesk – Zendesk, Freshdesk, HelpScout <= 1.1.6 – Cross-Site Scripting almacenado autenticado (Contribuidor+)
El plugin CRM Perks – WordPress HelpDesk Integration – Zendesk, Freshdesk, HelpScout para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘crm-perks-tickets’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite…
-
Tabs Maker <= 1.0 – Cross-Site Scripting Almacenado de Usuario Autenticado (Contribuidor+)
El plugin Tabs Maker para WordPress es vulnerable a Cross-Site Scripting Almacenado en versiones hasta, e incluyendo, la 1.0 debido a una sanitización insuficiente de la entrada y escape de salida en las descripciones de las pestañas. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superiores, inyecten scripts web arbitrarios en páginas…
-
Vulnerabilidad de carga de archivos arbitrarios en Crafthemes Demo Import <= 3.3
El plugin Crafthemes Demo Import para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función ‘process_uploaded_files’ en todas las versiones hasta, e incluyendo, la 3.3. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, cargar archivos arbitrarios en el…
-
Vulnerabilidad en el plugin Get Post Content Shortcode <= 0.4 – Referencia Directa a Objetos Insegura para la Divulgación de Información Sensible a Usuarios Autenticados (Contributor+)
El plugin Get Post Content Shortcode para WordPress es vulnerable a una Referencia Directa a Objeto Insegura en todas las versiones hasta, e incluyendo, la 0.4 a través del shortcode ‘post-content’ debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con nivel de acceso de Contribuidor…
-
Visualmodo Elements <= 1.0.2 – Cross-Site Scripting a través de la carga de archivos SVG autenticados (Autor+)
El plugin Visualmodo Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG mediante la API REST en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel…