Ultimas Noticias
-
Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments <= 1.6.7.7 – Inyección SQL Autenticada (Contributor+) a través de Shortcode
El plugin de WordPress Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments es vulnerable a Inyección SQL a través del parámetro customer_id en todas las versiones hasta, e incluyendo, la 1.6.7.7 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en…
-
Plugin Permalink <= 2.4.3.1 – Autorización faltante a través de get_uri_editor
El plugin Permalink Manager Lite para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de verificación de capacidad en la función ‘get_uri_editor’ en todas las versiones hasta, e incluyendo, la 2.4.3.1. Esto permite a atacantes no autenticados ver los enlaces permanentes de todas las publicaciones. Para mitigar esta vulnerabilidad,…
-
Permalink Manager Lite y Permalink Manager Pro <= 2.4.3.1 – Cross-Site Scripting Reflejado
El plugin Permalink Manager Pro para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘s’ en todas las versiones hasta, e incluyendo, la 2.4.3.1 debido a una sanitización insuficiente de la entrada y escapado del resultado. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si…
-
Ventana Modal – Crear ventana modal emergente <= 5.3.8 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-2457 se refiere a un caso de Cross-Site Scripting Almacenado en el plugin Modal Window – create popup modal window para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de permisos contributor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.…
-
Avada <= 7.11.6 – SSRF autenticado (Contribuidor+) a través de form_to_url_action
El tema Avada | Website Builder For WordPress & WooCommerce para WordPress es vulnerable a la Vulnerabilidad de Petición de Servidor desde el Lado del Servidor (SSRF) en todas las versiones hasta, e incluyendo, la 7.11.6 a través de la función form_to_url_action. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior,…
-
Vulnerabilidad de Inyección de SQL en el Plugin de Reservas de Citas Simply Schedule Appointments Booking <= 1.6.7.7 – Autenticado (Subscriber+)
El plugin Appointment Booking Calendar — Simply Schedule Appointments Booking para WordPress es vulnerable a Inyección de SQL a través del parámetro keys en todas las versiones hasta, e incluyendo, 1.6.7.7 debido a la falta de escape suficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL…
-
Avada <= 7.11.6 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
La vulnerabilidad CVE-2024-2311 afecta al tema Avada para WordPress, permitiendo a atacantes autenticados con permisos de nivel contributor y superiores inyectar scripts web arbitrarios en páginas que ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por…