Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en ElementsKit Elementor addons <= 3.0.7
La vulnerabilidad CVE-2024-2803 en ElementsKit Elementor addons permite a atacantes inyectar scripts maliciosos en páginas web, poniendo en riesgo la seguridad de los usuarios de WordPress. El plugin ElementsKit Elementor addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de cuenta regresiva en todas las versiones hasta la 3.0.6 debido a…
-
Gestor de Etiquetas y Categorías de WordPress – AI Autotagger <= 3.13.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) mediante Shortcode
La vulnerabilidad CVE-2024-2830 afecta al plugin WordPress Tag and Category Manager – AI Autotagger en su versión 3.13.0 y anteriores, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘st_tag_cloud’. El plugin no realiza la suficiente sanitización de la entrada de datos ni el escape de la salida en los…
-
Vulnerabilidad de Inyección de Objetos PHP en Modal Popup Box – Popup Builder, Show Offers And News in Popup <= 1.5.2
La vulnerabilidad de deserialización de datos no confiables en el plugin Modal Popup Box – Popup Builder, Show Offers And News in Popup para WordPress hasta la versión 1.5.2 permite a atacantes autenticados realizar una Inyección de Objetos PHP a través de la deserialización de entrada no confiable en la función awl_modal_popup_box_shortcode. Esta vulnerabilidad podría…
-
Anuncio desde el Panel de Control <= 1.5.2 – Cross-Site Scripting Almacenado Autenticado (Admin+)
El plugin Announce from the Dashboard para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 1.5.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts…
-
BookingPress – Vulnerabilidad de Carga de Archivos Arbitrarios (Admin+)
El plugin BookingPress para WordPress es vulnerable a la carga de archivos arbitrarios debido a la validación insuficiente de los nombres de archivos en la función ‘bookingpress_process_upload’ en todas las versiones hasta, e incluyendo la 1.0.87. Esto permite a un atacante autenticado con capacidades de administrador o superiores cargar archivos arbitrarios en el servidor del…
-
Últimas entradas vistas por WPBeginner <= 1.0.0 – Inyección de Objetos PHP no autenticada
En este reporte de seguridad se detalla una vulnerabilidad en el plugin de WordPress WPBeginner que permite a un atacante realizar una inyección de objetos PHP sin necesidad de autenticación. La vulnerabilidad CVE-2024-3070 en el plugin WPBeginner <= 1.0.0 permite a un atacante remoto ejecutar código PHP arbitrario en el servidor afectado. Para subsanar este…
-
Vulnerabilidad de Inyección SQL no Autenticada en LayerSlider 7.9.11 – 7.10.0
La popularidad de LayerSlider lo convierte en un objetivo atractivo para los ciberdelincuentes. En las versiones 7.9.11 y 7.10.0, se ha identificado una vulnerabilidad de Inyección SQL no autenticada que podría comprometer la seguridad de tu sitio web. La vulnerabilidad de Inyección SQL en LayerSlider se presenta a través de la acción ls_get_popup_markup, debido a…