Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Pocket News Generator <= 0.2.0 (Autenticado como Administrador+)
El plugin Pocket News Generator para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador, como ‘Consumer Key’ y ‘Access Token’, en todas las versiones hasta 0.2.0. Esto se debe a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes autenticados, con permisos de administrador y…
-
Vulnerabilidad de XSS almacenado en WP Chat App <= 3.6.2 – A través del atributo de imagen Block
El plugin WP Chat App para WordPress es vulnerable a XSS almacenado a través del atributo ‘imageAlt’ en todas las versiones hasta, e incluyendo, la 3.6.2 debido a una validación de entrada insuficiente y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar…
-
Responsive <= 5.0.2 – Falta de Autorización para Inyección de HTML
El tema Responsive para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función save_footer_text_callback en todas las versiones hasta, e incluyendo, la 5.0.2. Esto hace posible que atacantes no autenticados inyecten contenido HTML arbitrario en el pie de página del sitio. Los…
-
Vulnerabilidad de Inclusión Local de Archivos en HUSKY – Products Filter Professional for WooCommerce <= 1.3.5.2
La vulnerabilidad de Inclusión Local de Archivos en el plugin HUSKY – Products Filter Professional for WooCommerce permite a atacantes autenticados con privilegios de administrador e superiores incluir y ejecutar archivos arbitrarios en el servidor, lo que puede resultar en la ejecución de código PHP malicioso. La vulnerabilidad CVE-2024-3061, denominada ‘Improper Control of Filename for…
-
130+ Widgets | Mejores Complementos Para Elementor – GRATIS <= 1.4.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin 130+ Widgets | Mejores Complementos Para Elementor – GRATIS para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 1.4.2 debido a una sanitización insuficiente de la entrada y a la escapada de la salida en los atributos proporcionados por…
-
Vulnerabilidad en MasterStudy LMS <= 3.3.0 – Inclusión de Archivos Locales no Autenticada a través de modal
La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versión 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a través del parámetro ‘modal’. Esto puede dar lugar a la ejecución de código PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio.…
-
Pods – Tipos de Contenido Personalizados y Campos – Autorización Ausente
El plugin Pods – Tipos de Contenido Personalizados y Campos para WordPress es vulnerable a la Autorización Ausente en todas las versiones hasta, e incluyendo, la 3.0.10 (con la excepción de 2.7.31.2, 2.8.23.2, 2.9.19.2). Esto se debe a que el plugin permite el uso de una función de inclusión de archivos a través de una…