Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en weForms <= 1.6.21 a través del Referer sin autenticación
La vulnerabilidad CVE-2024-0386 en el plugin weForms para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, lo que puede poner en riesgo la seguridad de los usuarios. La vulnerabilidad de Cross-Site Scripting (XSS) almacenada en weForms hasta la versión 1.6.21 se debe a una insuficiente sanitización de entrada y escape…
-
Vulnerabilidad de Cross-Site Request Forgery en el plugin Bulgarisation for WooCommerce <= 3.0.14
El plugin Bulgarisation for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.0.14. Esto se debe a la falta o validación incorrecta de nonce en varias funciones. Esto hace posible que atacantes no autenticados generen y eliminen etiquetas a través de una solicitud falsificada, siempre que…
-
Blossom Spa <= 1.3.4 – Exposición de Información Sensible
El tema Blossom Spa para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.3.4 a través del código fuente generado. Esto permite a los atacantes no autenticados extraer datos sensibles, incluidos los contenidos de publicaciones protegidas con contraseña o programadas. La falta de autorización en el…
-
CWW Companion <= 1.2.7 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin CWW Companion para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Module2 en todas las versiones hasta, e incluyendo, la 1.2.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor…
-
Videollamadas con Zoom <= 4.4.4 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-2031 afecta al plugin de WordPress Video Conferencing with Zoom en todas las versiones hasta la 4.4.4, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La causa de esta vulnerabilidad radica en la falta…
-
ProfilePress <= 4.15.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Shortcode
El plugin Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcode(s) del plugin en todas las versiones hasta, e incluyendo, la 4.15.2 debido a una sanitización insuficiente de la entrada y escapado de la salida…
-
LadiApp <= 4.4 – Falta de Autorización a través de save_config()
El plugin LadiApp para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función save_config() en las versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes autenticados con acceso de nivel suscriptor y superior actualicen la opción ‘ladipage_config’. Para subsanar este problema,…