Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Better Elementor Addons <= 1.4.1 para WordPress
El plugin Better Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los valores de URL del widget en todas las versiones hasta, e incluyendo, 1.4.1 debido a una sanitización insuficiente de la entrada y a la escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados…
-
Radio Player <= 2.0.73 – Falta de autorización a través de get_players
El plugin Radio Player para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidades en la función ‘get_players’ en las versiones hasta, e incluyendo, la 2.0.73. Esto permite que atacantes no autenticados recuperen una lista de reproductores de radio. Los usuarios afectados por esta vulnerabilidad deben…
-
Easy Appointments <= 3.11.18 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
El plugin de Easy Appointments para WordPress es vulnerable al Cross-Site Scripting (XSS) almacenado a través del shortcode ‘ea_full_calendar’ en todas las versiones hasta, e incluyendo, la 3.11.18 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Easy Appointments <= 3.11.18 – Autorización Insuficiente
El plugin Easy Appointments para WordPress es vulnerable a la modificación no autorizada de datos debido a una validación insuficiente del usuario en la función ajax_cancel_appointment() en todas las versiones hasta, e incluyendo, la 3.11.18. Esto hace posible que atacantes no autenticados cancelen pedidos de otros usuarios. La falta de validación adecuada del usuario en…
-
Riesgo de Carga de Archivos Arbitrarios en Product Import Export for WooCommerce <= 2.4.1 – ID CVE: CVE-2024-30231
El plugin Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ‘image_library_attachment’ en todas las versiones hasta, e incluyendo, la 2.4.1. Esto permite a atacantes autenticados, con acceso de Shop Manager o superior, cargar archivos arbitrarios…
-
Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE <= 2.6.5 – Cross-Site Scripting Almacenado (Contribuidor+) Autenticado
El plugin Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 2.6.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario…
-
Media Library Assistant <= 3.13 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de mla_gallery Shortcode
La vulnerabilidad CVE-2024-2475 permite a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web arbitrarios en las páginas del sitio a través del shortcode mla_gallery del plugin Media Library Assistant en versiones anteriores a 3.13. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Media Library Assistant se debe a la insuficiente sanitización…