Ultimas Noticias
-
Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Metform Elementor Contact Form Builder <= 3.8.5
La vulnerabilidad CVE-2024-2791 en el plugin Metform Elementor Contact Form Builder para WordPress permite a atacantes autenticados generar ataques XSS almacenados a través de los widgets del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios. Esta vulnerabilidad afecta a todas las…
-
Vulnerabilidad de Cross-Site Scripting en Creative Addons for Elementor <= 1.5.12
La vulnerabilidad CVE-2024-2924 en el plugin Creative Addons for Elementor para WordPress permite a atacantes autenticados realizar Cross-Site Scripting almacenado, lo que puede comprometer la seguridad de un sitio web. El plugin Creative Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones…
-
EnvíaloSimple: Email Marketing y Newsletters <= 2.3 – Vulnerabilidad de Cross-Site Request Forgery para la Carga Arbitraria de Archivos
El plugin EnvíaloSimple: Email Marketing y Newsletters para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.3. Esto se debe a la falta de validación de nonce en la función gallery_add. Esto hace posible que atacantes no autenticados carguen archivos maliciosos a través de una petición falsificada, siempre…
-
SecuPress Free — WordPress Security <= 2.2.5.1 – Cross-Site Request Forgery hacia una IP Baneada
El plugin SecuPress Free — WordPress Security para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.2.5.1. Esto se debe a la falta o incorrecta validación de nonce en la función secupress_blackhole_ban_ip(). Esto permite a atacantes no autenticados bloquear la IP de un usuario mediante una solicitud falsificada,…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en WishSuite <= 1.3.7 para WordPress
La vulnerabilidad CVE-2024-29927 en el plugin WishSuite para WordPress permite a atacantes autenticados realizar ataques de Cross-Site Scripting (XSS) almacenado, lo que podría comprometer la seguridad de un sitio web. El plugin WishSuite para WordPress es vulnerable a Cross-Site Scripting almacenado en versiones hasta la 1.3.7 debido a una insuficiente sanitización de las entradas y…
-
Vulnerabilidad de XSS almacenado en el plugin WP-Members Membership <= 3.4.9.2
El plugin WP-Members Membership para WordPress es vulnerable a XSS almacenado a través del encabezado X-Forwarded-For en todas las versiones hasta, e incluyendo, la 3.4.9.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un…