Ultimas Noticias
-
Easy Appointments <= 3.11.18 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
El plugin de Easy Appointments para WordPress es vulnerable al Cross-Site Scripting (XSS) almacenado a través del shortcode ‘ea_full_calendar’ en todas las versiones hasta, e incluyendo, la 3.11.18 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Easy Appointments <= 3.11.18 – Autorización Insuficiente
El plugin Easy Appointments para WordPress es vulnerable a la modificación no autorizada de datos debido a una validación insuficiente del usuario en la función ajax_cancel_appointment() en todas las versiones hasta, e incluyendo, la 3.11.18. Esto hace posible que atacantes no autenticados cancelen pedidos de otros usuarios. La falta de validación adecuada del usuario en…
-
Riesgo de Carga de Archivos Arbitrarios en Product Import Export for WooCommerce <= 2.4.1 – ID CVE: CVE-2024-30231
El plugin Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ‘image_library_attachment’ en todas las versiones hasta, e incluyendo, la 2.4.1. Esto permite a atacantes autenticados, con acceso de Shop Manager o superior, cargar archivos arbitrarios…
-
Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE <= 2.6.5 – Cross-Site Scripting Almacenado (Contribuidor+) Autenticado
El plugin Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 2.6.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario…
-
Media Library Assistant <= 3.13 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de mla_gallery Shortcode
La vulnerabilidad CVE-2024-2475 permite a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web arbitrarios en las páginas del sitio a través del shortcode mla_gallery del plugin Media Library Assistant en versiones anteriores a 3.13. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Media Library Assistant se debe a la insuficiente sanitización…
-
Vulnerabilidad XSS en el plugin Stackable – Page Builder Gutenberg Blocks <= 3.12.11
El plugin Stackable – Page Builder Gutenberg Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la etiqueta de título del bloque de publicaciones (v2) en todas las versiones hasta, e incluyendo, la 3.12.11 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.…
-
WholesaleX <= 1.3.1 – Exposición de Información Sensible a través de export_users
El plugin WholesaleX – WooCommerce Wholesale Plugin (Wholesale Prices, Dynamic Pricing, Tiered Pricing) para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.3.1 a través del ‘export_users’. Esto permite que atacantes autenticados, con acceso al panel de administración (Subscriptores, aunque con WooCommerce instalado esto estaría limitado…