Ultimas Noticias
-
Email Encoder – Protege las direcciones de correo electrónico y números de teléfono <= 2.1.9 – Autenticado (Contributor+) Almacenado Cross-Site Scripting
El plugin Email Encoder – Protege las direcciones de correo electrónico y números de teléfono para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode eeb_mailto del plugin en todas las versiones hasta, e incluyendo, 2.1.9 debido a una sanitización insuficiente de entrada y escape de salida en los atributos proporcionados por el…
-
List category posts <= 0.89.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en páginas web, lo que puede conducir a ataques de Cross-Site Scripting. El plugin List category posts…
-
Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates <= 4.4.6 – Authenticated (Contributor+) Stored Cross-Site Scripting
El plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting almacenada en la versión 4.4.6 y anteriores. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un…
-
Customer Reviews for WooCommerce <= 5.38.9 – Subida arbitraria de archivos (Autor+) autenticado
En este informe de seguridad, abordaremos una vulnerabilidad en el plugin Customer Reviews for WooCommerce para WordPress que permite la subida arbitraria de archivos. Esta vulnerabilidad, identificada como CVE-2023-6979, permite a atacantes autenticados con nivel de autor o superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución remota…
-
Formidable Forms <= 6.7 – Inyección de HTML
El plugin Formidable Forms para WordPress es vulnerable a la inyección de HTML en las versiones hasta, e incluyendo, la 6.7. Esta vulnerabilidad permite a usuarios no autenticados inyectar código HTML arbitrario en los campos del formulario. Cuando los datos del formulario son visualizados por un administrador en la página de Entradas, el código HTML…
-
Formidable Forms <= 6.7 – Stored Cross-Site Scripting (XSS) Autenticado (Administrador+)
En este reporte de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder para WordPress, que permite a atacantes autenticados con nivel de administrador inyectar scripts maliciosos en las páginas del sitio. En este artículo, te…
-
Metform Elementor Contact Form Builder <= 3.8.1 – Cross-Site Request Forgery
El complemento Metform Elementor Contact Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.8.1. Esto se debe a la falta o validación incorrecta de nonce en la función de contenidos. Esto permite a atacantes no autenticados actualizar las opciones ‘mf_hubsopt_token’, ‘mf_hubsopt_refresh_token’, ‘mf_hubsopt_token_type’ y ‘mf_hubsopt_expires_in’…