Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenada en WP RSS Aggregator <= 4.23.4 a través de la fuente de alimentación RSS
En el plugin de WordPress WP RSS Aggregator, existe una vulnerabilidad de Cross-Site Scripting almacenada que permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Esta vulnerabilidad afecta a las versiones hasta la 4.23.4 y se…
-
10Web AI Assistant – Falta de Autorización para la Instalación Arbitraria de Plugins
El plugin 10Web AI Assistant – Asistente de escritura de contenido basado en IA para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la acción AJAX install_plugin en todas las versiones hasta, e incluyendo, la 1.0.18. Esto permite a atacantes autenticados, con acceso…
-
Elementor Addons by Livemesh <= 8.3.1 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Elementor Addons by Livemesh para WordPress es vulnerable a un Cross-Site Scripting Almacenado a través de los parámetros de URL del widget en todas las versiones hasta, e incluyendo, la 8.3.1 debido a la insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados con acceso de colaborador o…
-
Views for WPForms <= 3.2.2 – Autorización faltante a través de create_view
En este reporte de seguridad se ha identificado un problema de acceso no autorizado en el plugin Views for WPForms – Display & Edit WPForms Entries on your site frontend para WordPress. La vulnerabilidad radica en la falta de comprobación de capacidades en la función ‘create_view’, permitiendo a atacantes autenticados con acceso de suscriptor o…
-
Views for WPForms <= 3.2.2 – Falta de autorización en get_form_fields
El plugin Views for WPForms – Display & Edit WPForms Entries on your site frontend para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una comprobación de capacidad en la función ‘get_form_fields’ en todas las versiones hasta, incluyendo, la 3.2.2. Esto permite a atacantes autenticados, con acceso de suscriptor…
-
Views for WPForms <= 3.2.2 – Cross-Site Request Forgery a través de create_view
En este artículo se abordará una vulnerabilidad de acceso indebido en el plugin de WordPress ‘Views for WPForms – Display & Edit WPForms Entries on your site frontend’ en todas las versiones hasta la 3.2.2, identificada con el ID CVE-2024-0374. Esta vulnerabilidad permite a atacantes no autenticados crear vistas a través de una solicitud falsificada…
-
Views for WPForms <= 3.2.2 – Autorización faltante a través de save_view
El complemento Views for WPForms – Mostrar y editar la entrada de WPForms en la parte frontal de tu sitio para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función ‘save_view’ en todas las versiones hasta, e incluyendo, la 3.2.2. Esto permite que…