Ultimas Noticias
-
VK All in One Expansion Unit <= 9.96.0.1 – Cross-Site Scripting almacenado autenticado a través de className
La vulnerabilidad CVE-2024-2170 encontrada en el plugin VK All in One Expansion Unit para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad del sitio. El plugin VK All in One Expansion Unit para WordPress es vulnerable a Cross-Site Scripting almacenado…
-
Newsmatic <= 1.3.4 – Exposición de Información no Autenticada a través de newsmatic_filter_posts_load_tab_content
La vulnerabilidad CVE-2024-1587 afecta al tema Newsmatic para WordPress, permitiendo a atacantes no autenticados ver publicaciones de borrador y contenido de publicaciones. La versión vulnerable del tema Newsmatic es la 1.3.0 y anteriores. El problema reside en la falta de autorización al acceder a ‘newsmatic_filter_posts_load_tab_content’, lo que posibilita la exposición de información sensible sin necesidad…
-
Check & Log Email <= 1.0.9 – Inyección de Gancho no Autenticada
La vulnerabilidad de Inyección de Gancho no Autenticada en el plugin Check & Log Email para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.0.9 a través de la función check_nonce. Esto hace posible que atacantes no autenticados ejecuten acciones con ganchos en WordPress bajo ciertas circunstancias. La acción que el atacante desea…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Themify Shortcodes <= 2.0.8 (Authenticado como Contribuidor+)
La vulnerabilidad CVE-2024-2732 en el plugin de WordPress Themify Shortcodes hasta la versión 2.0.8 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin Themify Shortcodes es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘themify_post_slider’ debido…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Lightweight Accordion <= 1.5.16 – Autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-2436 en el plugin Lightweight Accordion para WordPress permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar scripts web arbitrarios en las páginas del sitio. La versión 1.5.16 y anteriores del plugin Lightweight Accordion son vulnerables a Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada y escape…
-
Vulnerabilidad de XSS almacenado en SEOPress – On-site SEO <= 7.5.2.1 – Autenticado (Autor+) Cross-Site Scripting
La vulnerabilidad CVE-2024-2165, también conocida como XSS almacenado, afecta al plugin SEOPress – On-site SEO para WordPress en versiones hasta la 7.5.2.1. Esta vulnerabilidad se debe a una validación inadecuada de la entrada de datos, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas del sitio web. La descripción detallada de esta…
-
Form Maker by 10Web – Constructor de Formularios de Contacto ‘Drag & Drop’ para Móviles <= 1.15.22 – Vulnerabilidad de Exposición de Información Sensible
La vulnerabilidad de Exposición de Información Sensible en el plugin Form Maker by 10Web – Constructor de Formularios de Contacto ‘Drag & Drop’ para Móviles para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.15.22 a través de la funcionalidad de firmas. Esto permite a atacantes no autenticados extraer datos sensibles, incluidas las…