Ultimas Noticias
-
Rank Math SEO con Herramientas de AI SEO <= 1.0.214 – Cross-Site Scripting Almacenado Autenticado(Contributor+) a través de atributos de bloque HowTo
El plugin Rank Math SEO con Herramientas de AI SEO para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los atributos del bloque HowTo en todas las versiones hasta, e incluyendo, la 1.0.214 debido a una validación de entrada insuficiente y escape de salida en atributos suministrados por el usuario. Esto permite a…
-
Cards for Beaver Builder <= 1.1.2 – Cross-Site Scripting almacenado autenticado (Colaborador+) a través del enlace de bootstrapcard
El plugin Cards for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del enlace de BootstrapCard en todas las versiones hasta, e incluyendo, la 1.1.2 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos…
-
Page Builder: Pagelayer – Vulnerabilidad XSS almacenada a través de atributos personalizados
La vulnerabilidad CVE-2024-2504 afecta al plugin Page Builder: Pagelayer – Drag and Drop website builder para WordPress en versiones hasta la 1.8.4. Esta vulnerabilidad, conocida como XSS almacenada, permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas creadas con el plugin. El problema radica en la falta de…
-
Vulnerabilidad de Inyección SQL en Easy Property Listings <= 3.5.2 con acceso Authenticated(Contributor+)
El plugin Easy Property Listings para WordPress es vulnerable a inyección SQL basada en tiempo a través del atributo ‘property_status’ en todas las versiones hasta, e incluyendo, la 3.5.2 debido a la falta de escape en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite…
-
Getwid – Gutenberg Blocks <= 2.0.5 – Cross-Site Scripting Almacenado autenticado (Contributor+) a través del contenido del bloque
La vulnerabilidad CVE-2024-1948 afecta al plugin Getwid – Gutenberg Blocks para WordPress en versiones hasta 2.0.5, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado se debe a la insuficiente sanitización…
-
Memberpress <= 1.11.26 – Cross-Site Scripting Reflejado a través de message y error
El plugin Memberpress para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros ‘message’ y ‘error’ en todas las versiones hasta, e incluyendo, la 1.11.26 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
ColorMag <= 3.1.6 – Cross-Site Scripting por Nombre de Usuario en WordPress
La vulnerabilidad CVE-2024-2500 afecta al tema ColorMag para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos que se ejecutarán al acceder a una página comprometida. El tema ColorMag para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de usuario de un usuario en las versiones hasta…