Ultimas Noticias
-
CMB2 <= 2.10.1 – Inyección de Objetos PHP autenticada (Contribuidor+)
La vulnerabilidad de inyección de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a través de la deserialización de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente…
-
Easy Digital Downloads – Venta de Archivos Digitales y Suscripciones (Tienda de Comercio Electrónico + Pagos Fáciles) <= 3.2.9 – Exposición de Información Sensible
El plugin Easy Digital Downloads – Venta de Archivos Digitales y Suscripciones (Tienda de Comercio Electrónico + Pagos Fáciles) para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.2.9. Esto permite a atacantes no autenticados descargar el registro de depuración a través de Listado de Directorio.…
-
Vulnerabilidad de tipo Cross-Site Scripting en Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.2.31
El plugin Gutenberg Blocks by Kadence Blocks – Page Builder Features para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del widget Countdown y CountUp en todas las versiones hasta, e incluyendo, la 3.2.31. La falta de sanitización de entrada y escape de salida en atributos proporcionados por el usuario permite a atacantes…
-
Vulnerabilidad de Cross-Site Scripting en ElementsKit Elementor addons <= 3.0.7
La vulnerabilidad CVE-2024-2803 en ElementsKit Elementor addons permite a atacantes inyectar scripts maliciosos en páginas web, poniendo en riesgo la seguridad de los usuarios de WordPress. El plugin ElementsKit Elementor addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de cuenta regresiva en todas las versiones hasta la 3.0.6 debido a…
-
Gestor de Etiquetas y Categorías de WordPress – AI Autotagger <= 3.13.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) mediante Shortcode
La vulnerabilidad CVE-2024-2830 afecta al plugin WordPress Tag and Category Manager – AI Autotagger en su versión 3.13.0 y anteriores, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘st_tag_cloud’. El plugin no realiza la suficiente sanitización de la entrada de datos ni el escape de la salida en los…
-
Vulnerabilidad de Inyección de Objetos PHP en Modal Popup Box – Popup Builder, Show Offers And News in Popup <= 1.5.2
La vulnerabilidad de deserialización de datos no confiables en el plugin Modal Popup Box – Popup Builder, Show Offers And News in Popup para WordPress hasta la versión 1.5.2 permite a atacantes autenticados realizar una Inyección de Objetos PHP a través de la deserialización de entrada no confiable en la función awl_modal_popup_box_shortcode. Esta vulnerabilidad podría…
-
Anuncio desde el Panel de Control <= 1.5.2 – Cross-Site Scripting Almacenado Autenticado (Admin+)
El plugin Announce from the Dashboard para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 1.5.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts…