Ultimas Noticias
-
Widget de Traducción de Idiomas para WordPress – ConveyThis <= 223 – Cross-Site Scripting Almacenado No Autenticado a través de api_key
El plugin de Widget de Traducción de Idiomas para WordPress – ConveyThis es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘api_key’ en todas las versiones hasta, e incluyendo, la 223 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas…
-
BizCalendar Web <= 1.1.0.19 – Cross-Site Scripting reflejado a través de la pestaña
El plugin BizCalendar Web para WordPress es vulnerable a Cross-Site Scripting reflejado a través del parámetro ‘tab’ en todas las versiones hasta, e incluyendo, la 1.1.0.19 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Exposición de Información Sensible en el Plugin WP Encryption – Vulnerabilidad CVE-2023-7046
El plugin WP Encryption – One Click Free SSL Certificate & SSL / HTTPS Redirect to Force HTTPS, SSL Score para WordPress presenta una vulnerabilidad de Exposición de Información Sensible en todas las versiones hasta la 7.0, permitiendo a atacantes no autenticados extraer datos sensibles como las Claves Privadas de Certificados TLS. La vulnerabilidad CVE-2023-7046…
-
Vulnerabilidad de Server-Side Request Forgery (SSRF) en Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.1.26
La vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Gutenberg Blocks by Kadence Blocks – Page Builder Features para WordPress afecta a todas las versiones hasta, e incluyendo, la 3.1.26 a través de la acción AJAX ‘kadence_import_get_new_connection_data’. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, realizar solicitudes web a ubicaciones…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Addons by Livemesh <= 8.3.6
La vulnerabilidad CVE-2024-2539 en el plugin Elementor Addons by Livemesh para WordPress permite a atacantes almacenar scripts maliciosos en páginas web, lo que podría comprometer la seguridad de los usuarios. La versión 8.3.6 y anteriores del plugin Elementor Addons by Livemesh son vulnerables a Cross-Site Scripting almacenado debido a la falta de sanitización de entrada…
-
Essential Grid <= 3.1.1 – Divulgación de Publicaciones Privadas no Autenticadas
El plugin Essential Grid Gallery para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 3.1.1 a través de la función on_front_ajax_action(). Esto permite que atacantes no autenticados puedan ver publicaciones privadas y protegidas con contraseña que pueden contener información privada o sensible. La vulnerabilidad CVE-2024-3235 en…
-
WP Radio – Directorio de Estaciones de Radio Online a Nivel Mundial para WordPress <= 3.1.9 – Autorización Ausente a través de múltiples acciones AJAX
El plugin WP Radio – Directorio de Estaciones de Radio Online a Nivel Mundial para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en múltiples funciones AJAX en todas las versiones hasta, e incluyendo, la 3.1.9. Esto permite que atacantes autenticados, con acceso de suscriptor…