Ultimas Noticias
-
Vulnerabilidad XSS en el plugin Stackable – Page Builder Gutenberg Blocks <= 3.12.11
El plugin Stackable – Page Builder Gutenberg Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la etiqueta de título del bloque de publicaciones (v2) en todas las versiones hasta, e incluyendo, la 3.12.11 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.…
-
WholesaleX <= 1.3.1 – Exposición de Información Sensible a través de export_users
El plugin WholesaleX – WooCommerce Wholesale Plugin (Wholesale Prices, Dynamic Pricing, Tiered Pricing) para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.3.1 a través del ‘export_users’. Esto permite que atacantes autenticados, con acceso al panel de administración (Subscriptores, aunque con WooCommerce instalado esto estaría limitado…
-
GamiPress – Plugin de gamificación para recompensar puntos, logros, medallas y rangos en WordPress <= 6.9.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
El plugin GamiPress, utilizado para premiar puntos, logros, medallas y rangos en WordPress, presenta una vulnerabilidad de Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta la 6.9.0. Esta vulnerabilidad es debida a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios.…
-
Vulnerabilidad de Inyección de Objetos PHP en el Plugin de Botones de Compartir de Redes Sociales Hubbub Lite <= 1.33.1
La vulnerabilidad de inyección de objetos PHP en el plugin Hubbub Lite – Fast, Reliable Social Sharing Buttons para WordPress pone en riesgo la seguridad de los sitios web que lo utilicen. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior inyectar un objeto PHP malicioso. El plugin Hubbub Lite – Fast,…
-
Vulnerabilidad en Plugin Multiple Page Generator – MPG <= 3.4.0 Permite Acceso No Autorizado
El plugin Multiple Page Generator – MPG para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidades en la función ‘mpg_get_log_by_project_id’ en versiones hasta, e incluyendo, la 3.4.0. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, puedan ver los registros de proyectos. Los…
-
Elementor Addon Elements <= 1.13.1 – Cross-Site Scripting almacenado autenticado (Contributor+)
La vulnerabilidad CVE-2024-2091, denominada ‘Neutralización inadecuada de la entrada durante la generación de páginas web (Cross-site Scripting)’, afecta al plugin Elementor Addon Elements para WordPress en todas las versiones hasta la 1.13.1. El plugin es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin debido a una insuficiente sanitización de entrada y…
-
Events Manager <= 6.4.7.1 – Cross-Site Scripting almacenado autenticado (Contributor+)
En este reporte se detalla la vulnerabilidad de Cross-Site Scripting almacenado en el plugin Events Manager – Calendar, Bookings, Tickets, and more! para WordPress hasta la versión 6.4.7.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario…