Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en WPBakery Page Builder Addons by Livemesh <= 3.8.1
La vulnerabilidad CVE-2024-2079 en el plugin WPBakery Page Builder Addons by Livemesh permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas del sitio. La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WPBakery Page Builder Addons by Livemesh hasta la versión 3.8.1 se produce debido a la falta de…
-
Vulnerabilidad de Cross-Site Request Forgery en Related Posts for WordPress <= 2.2.1
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Related Posts for WordPress para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.2.1. Esto se debe a la falta o validación incorrecta de nonce en la función handle_create_link(). Esto permite a atacantes no autenticados agregar publicaciones relacionadas a otras publicaciones a través…
-
Prime Slider – Addiciones Para Elementor <= 3.13.2 – Cross-Site Scripting Almacenado Autenticado (Colaborador+) a través del Widget Rubix
El complemento Prime Slider – Addiciones Para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo ‘title_tags’ del widget Rubix en todas las versiones hasta, e incluyendo, la 3.13.2 debido a la insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel colaborador y…
-
Vulnerabilidad de Cross-Site Scripting en Prime Slider – Addons For Elementor <= 3.13.2
La vulnerabilidad CVE-2024-1508 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas web a través del atributo ‘settings[‘title_tags’]’ del widget Mercury en el plugin Prime Slider – Addons For Elementor para WordPress. La falta de saneamiento de entradas y escape de salidas en la versión 3.13.2 y anteriores de…
-
Vulnerabilidad en plugin Hustle <= 7.8.3 expone información sensible a través de claves de API de Hubspot expuestas
El plugin Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 7.8.3 a través de claves de API codificadas. Esto permite que atacantes no autenticados extraigan datos sensibles, incluyendo información personal identificable (PII). Esta vulnerabilidad, identificada con el…
-
Estadísticas de Burst – Analíticas Amigables con la Privacidad para WordPress <= 1.5.6.1 – Cross-Site Scripting Almacenado Autenticado(Contribuidor+) a través de burst_total_pageviews_count
El plugin Burst Statistics – Privacy-Friendly Analytics for WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través del campo ‘burst_total_pageviews_count’ en todas las versiones hasta, e incluyendo, 1.5.6.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de…
-
Tutor LMS – Solución de eLearning y cursos en línea <= 2.6.1 – Cross-Site Request Forgery para Desactivación de Plugin y Borrado de Datos
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress afecta a todas las versiones hasta y incluyendo la 2.6.1. Esta vulnerabilidad se debe a una validación de nonce faltante o incorrecta en la función erase_tutor_data(). Esto permite que atacantes no autenticados desactiven…