Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Unlimited Elements For Elementor <= 1.5.96
Se ha identificado una vulnerabilidad de Cross-Site Scripting en el plugin Unlimited Elements For Elementor para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página. La vulnerabilidad se encuentra en el campo de enlace de…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en ElementsKit Elementor addons <= 3.0.6
La vulnerabilidad CVE-2024-1238 afecta al plugin ElementsKit Elementor addons para WordPress y permite a atacantes autenticados inyectar scripts maliciosos en páginas que serán ejecutados cuando un usuario acceda a la página inyectada. La vulnerabilidad de Cross-Site Scripting almacenado en ElementsKit Elementor addons <= 3.0.6 se debe a la falta de sanitización de la entrada y…
-
Escalada de privilegios no autenticada en MasterStudy LMS <= 3.3.1 a través de la acción AJAX stm_lms_register
Se ha identificado una vulnerabilidad de Privilege Escalation en el plugin MasterStudy LMS para WordPress en todas las versiones hasta, e incluyendo, la 3.3.1. Esto se debe a la falta de validación suficiente en la función _register_user() llamada por la acción AJAX ‘wp_ajax_nopriv_stm_lms_register’. Esto permite que atacantes no autenticados registren un usuario con privilegios a…
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP ERP
La vulnerabilidad CVE-2024-0609 afecta al plugin WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress. Esta vulnerabilidad de Cross-Site Scripting almacenado permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página comprometida. La vulnerabilidad se…
-
Pocket News Generator <= 0.2.0 – CSRF para Actualizar Configuraciones
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Pocket News Generator para WordPress afecta a todas las versiones hasta, e incluyendo, la 0.2.0. Esta vulnerabilidad se debe a la falta de validación de nonce en la función option_page(). Esto permite que atacantes no autenticados actualicen las configuraciones del plugin a través de una…
-
Vulnerabilidad de Cross-Site Request Forgery en el plugin News Wall <= 1.1.0
El plugin News Wall para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.1.0. Esto se debe a la falta de validación de nonce en la función nwap_newslist_page(). Esto hace posible que atacantes no autenticados actualicen la configuración del plugin y modifiquen listas de noticias a través de…
-
WP-Eggdrop <= 0.1 – Vulnerabilidad de Cross-Site Request Forgery en la Actualización de Configuraciones
El plugin WP-Eggdrop para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 0.1. Esto se debe a la falta de validación de nonce o a una validación incorrecta en la función wpegg_updateOptions(). Esto hace posible que atacantes no autenticados actualicen la configuración del plugin a través de una…