Ultimas Noticias
-
f(x) Private Site <= 1.2.1 – Exposición de Información Sensible
El plugin f(x) Private Site para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.2.1 a través de la API. Esto hace posible que atacantes no autenticados obtengan contenido de páginas y publicaciones de un sitio protegido con este plugin. Los usuarios afectados por esta vulnerabilidad…
-
Vulnerabilidad en WP Statistics <= 14.5 – Cross-Site Scripting almacenado sin autenticación
La vulnerabilidad CVE-2024-2194 afecta al plugin WP Statistics para WordPress, permitiendo a atacantes no autenticados inyectar scripts maliciosos en páginas web a través de parámetros de búsqueda en la URL. La falta de sanitización de entradas y escape de salida en las versiones hasta la 14.5 del plugin WP Statistics para WordPress permite a atacantes…
-
Vulnerabilidad SQL Injection en Tutor LMS – eLearning and online course solution <= 2.6.1 (CVE-2024-1751)
La vulnerabilidad de inyección SQL en el plugin Tutor LMS – eLearning and online course solution para WordPress permite a atacantes autenticados con acceso de suscriptor/estudiante o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. La versión 2.6.1 y anteriores del plugin Tutor LMS son vulnerables…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Elementor Header & Footer Builder <= 1.6.24
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Elementor Header & Footer Builder para WordPress. Esta vulnerabilidad, identificada con el ID CVE CVE-2024-1237, permite a atacantes autenticados inyectar scripts web maliciosos en páginas del sitio afectado. La vulnerabilidad reside en el atributo flyout_layout del plugin Elementor Header & Footer Builder…
-
Site Reviews <= 6.11.4 – Cross-Site Scripting por nombre de usuario almacenado autenticado(Subscriber+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Site Reviews para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio. El plugin Site Reviews para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de usuario en todas las versiones hasta, e inclusivo, la 6.11.4 debido a…
-
News Announcement Scroll <= 9.0.0 – Inyección SQL Autenticada (Colaborador+) a través de Shortcode
La vulnerabilidad CVE-2023-5663, denominada ‘Neutralización Inadecuada de Elementos Especiales utilizados en un Comando SQL (Inyección SQL)’, afecta al plugin News Announcement Scroll para WordPress en versiones hasta, e incluyendo, la 9.0.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de colaborador o superiores, insertar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para…
-
Beaver Builder – WordPress Page Builder <= 2.7.4.4 – Cross-Site Scripting Vulnerabilidad de XSS almacenada autenticada (Contribuyente+)
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la etiqueta de encabezado en todas las versiones hasta, e incluyendo, 2.7.4.4 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuyente y superior, inyectar…