Ultimas Noticias
-
Vulnerabilidad de Exposición de Información en el Plugin WPFront User Role Editor <= 3.2.1.11184
El plugin WPFront User Role Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.2.1.11184 a través de la acción AJAX wpfront_user_role_editor_assign_roles_user_autocomplete. Esto permite que atacantes autenticados, con acceso a nivel de suscriptor y superior, extraigan una lista de todas las direcciones de correo electrónico…
-
Vulnerabilidad de Cross-Site Scripting Stored en Template Kit – Import
El plugin Template Kit – Import para WordPress es vulnerable a Cross-Site Scripting Stored a través de la funcionalidad de carga de plantillas en todas las versiones hasta, e incluyendo, 1.0.14 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de autor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder WordPress Page Builder <= 2.8.0.5
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Button del plugin en todas las versiones hasta, e incluyendo, la 2.8.0.5 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes…
-
Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Metform Elementor Contact Form Builder <= 3.8.5
La vulnerabilidad CVE-2024-2791 en el plugin Metform Elementor Contact Form Builder para WordPress permite a atacantes autenticados generar ataques XSS almacenados a través de los widgets del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios. Esta vulnerabilidad afecta a todas las…
-
Vulnerabilidad de Cross-Site Scripting en Creative Addons for Elementor <= 1.5.12
La vulnerabilidad CVE-2024-2924 en el plugin Creative Addons for Elementor para WordPress permite a atacantes autenticados realizar Cross-Site Scripting almacenado, lo que puede comprometer la seguridad de un sitio web. El plugin Creative Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones…
-
EnvíaloSimple: Email Marketing y Newsletters <= 2.3 – Vulnerabilidad de Cross-Site Request Forgery para la Carga Arbitraria de Archivos
El plugin EnvíaloSimple: Email Marketing y Newsletters para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.3. Esto se debe a la falta de validación de nonce en la función gallery_add. Esto hace posible que atacantes no autenticados carguen archivos maliciosos a través de una petición falsificada, siempre…