Ultimas Noticias
-
Blocksy <= 2.0.77 – Cross-Site Scripting Almacenado para Usuarios Autenticados (Contribuidor+)
El tema de WordPress Blocksy es vulnerable a Cross-Site Scripting Almacenado a través del parámetro de enlace de Bloque de Información de Contacto en todas las versiones hasta, e incluyendo, la 2.0.77 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor…
-
Vulnerabilidad CSRF en Simple Redirection <= 1.5 permite redireccionar a sitios arbitrarios
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Simple Redirection para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.5. Esto se debe a la falta de validación de nonce incorrecta en la función settings_page(). Esto permite que atacantes no autenticados actualicen la configuración del plugin y redirijan a todos los…
-
AnyWhere Elementor <= 1.2.11 – Divulgación de Posts Autenticados (Contribuidor+)
El plugin AnyWhere Elementor para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.2.11 a través del shortcode ‘INSERT_ELEMENTOR’ debido a restricciones insuficientes sobre qué posts se pueden incluir. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos de posts privados o…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en NewsMunch <= 1.0.35
La vulnerabilidad CVE-2024-10848 en el tema de WordPress NewsMunch permite a atacantes autenticados con acceso de Contribuidor o superior inyectar scripts web maliciosos que se ejecutarán cuando un usuario accede a una página infectada. La vulnerabilidad de Cross-Site Scripting (XSS) en el tema NewsMunch es causada por una inadecuada sanitización de la entrada y escape…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en WIP WooCarousel Lite <= 1.1.6 para WordPress
El plugin WIP WooCarousel Lite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wip_woocarousel_products_carousel’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor…
-
Contact Form Builder <= 4.10.4 – Cross-Site Scripting a través de shortcode livesite-pay (Contribuidores+ Autenticados)
El plugin Contact Form Builder by vcita para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode livesite-pay en todas las versiones hasta, e incluyendo, la 4.10.4 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins <= 2.0.58 – Exposición de Información Sensible
La vulnerabilidad de Exposición de Información Sensible en el plugin Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins para WordPress permite a atacantes no autenticados extraer datos sensibles, como títulos de posts en estado de borrador. La vulnerabilidad se encuentra en todas las versiones hasta la 2.0.58 del plugin y puede…