Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Smart PopUp Blaster <= 1.4.3 para WordPress
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Smart PopUp Blaster para WordPress permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad de Cross-Site Scripting (XSS) en Smart PopUp Blaster <= 1.4.3 se…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin de Contact Form de Fluent Forms para Quiz, Encuestas y Constructor de Formularios WP de Arrastrar y Soltar <= 5.2.6
El plugin de Contact Form de Fluent Forms para Quiz, Encuestas y Constructor de Formularios WP de Arrastrar y Soltar para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de asunto del formulario en todas las versiones hasta, e incluyendo, la 5.2.6 debido a una insuficiente sanitización de la entrada y escape…
-
Vulnerabilidad de Reflected Cross-Site Scripting en MyParcel <= 4.24.1
La vulnerabilidad CVE-2024-9608 en el plugin MyParcel para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. Esta vulnerabilidad de Reflected Cross-Site Scripting se debe al uso de add_query_arg sin el escape adecuado en la…
-
Fuera del Bloque: OpenStreetMap <= 2.8.3 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de ootb_query Shortcode
El complemento Out of the Block: OpenStreetMap para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ootb_query del complemento en todas las versiones hasta, e incluyendo, la 2.8.3 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de Subida de Archivos en Super Backup & Clone – Migrate para WordPress <= 2.3.3 – Subida de Archivos Arbitrarios no Autenticada
La vulnerabilidad CVE-2024-9290 afecta al plugin Super Backup & Clone – Migrate para WordPress, permitiendo la subida de archivos arbitrarios sin autenticación. Esto puede poner en riesgo la seguridad de los sitios web que utilizan esta extensión. La vulnerabilidad se encuentra en la función ibk_restore_migrate_check() de todas las versiones del plugin hasta la 2.3.3. Al…
-
MainWP Child <= 5.2 – Falta de Autorización para Escalada de Privilegios sin Autenticación
La vulnerabilidad CVE-2024-10783 afecta al plugin MainWP Child para WordPress, permitiendo a atacantes no autenticados realizar una escalada de privilegios al registrar un sitio en un estado no configurado. La vulnerabilidad se debe a la falta de comprobaciones de autorización en la función register_site en todas las versiones hasta, e incluyendo, la 5.2. Esto permite…
-
Rate My Post – Plugin de valoración por estrellas de FeedbackWP <= 4.2.4 – Votaciones no autenticadas en publicaciones programadas
El plugin Rate My Post – Plugin de valoración por estrellas de FeedbackWP para WordPress es vulnerable a un Bypass de autorización a través de una clave controlada por el usuario. Esto se debe a una referencia directa insegura en todas las versiones hasta, e incluyendo, la 4.2.4 a través del get_post_status() debido a la…