Ultimas Noticias
-
Vulnerabilidad de Inyección SQL en Media Library Assistant <= 3.13 a través de Shortcode Autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-2871 encontrada en el plugin Media Library Assistant para WordPress permite a usuarios autenticados, con acceso de contribuidor o superior, llevar a cabo ataques de inyección de SQL a través de los shortcodes del plugin. La versión 3.13 y anteriores del plugin Media Library Assistant para WordPress son vulnerables a Inyección SQL debido…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Real Media Library
El plugin Real Media Library: Media Library Folder & File Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través de sus atributos de estilo en todas las versiones hasta, e incluyendo, la 4.22.7 debido a una validación insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad en Paid Memberships Pro <= 2.12.10 – Cross-Site Request Forgery
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress afecta a todas las versiones hasta la 2.12.10. Esta vulnerabilidad se debe a la falta de validación de nonce en la función pmpro_lifter_save_streamline_option(). Esto permite a atacantes no autenticados habilitar la configuración…
-
Astra <= 4.6.8 – XSS almacenado autenticado (Contribuidor+) a través del Nombre de Visualización
La vulnerabilidad en el tema de WordPress Astra permite a atacantes autenticados con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a una página comprometida. La versión 4.6.8 y anteriores de Astra no realizan una suficiente sanitización de la entrada y escape de…
-
Easy Textillate <= 2.01 – Cross-Site Scripting almacenado autenticado (Contributor+) mediante shortcode
El plugin Easy Textillate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘textillate’ en todas las versiones hasta, e incluyendo, la 2.01 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor o superior…
-
VK All in One Expansion Unit <= 9.96.0.1 – Cross-Site Scripting almacenado autenticado a través de className
La vulnerabilidad CVE-2024-2170 encontrada en el plugin VK All in One Expansion Unit para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad del sitio. El plugin VK All in One Expansion Unit para WordPress es vulnerable a Cross-Site Scripting almacenado…
-
Newsmatic <= 1.3.4 – Exposición de Información no Autenticada a través de newsmatic_filter_posts_load_tab_content
La vulnerabilidad CVE-2024-1587 afecta al tema Newsmatic para WordPress, permitiendo a atacantes no autenticados ver publicaciones de borrador y contenido de publicaciones. La versión vulnerable del tema Newsmatic es la 1.3.0 y anteriores. El problema reside en la falta de autorización al acceder a ‘newsmatic_filter_posts_load_tab_content’, lo que posibilita la exposición de información sensible sin necesidad…