Ultimas Noticias
-
Blocksy Companion <= 2.0.31 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado afecta al plugin Blocksy Companion para WordPress en versiones hasta, e incluyendo, la 2.0.31. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida. El plugin Blocksy Companion para…
-
JetWidgets For Elementor <= 1.0.16 – XSS almacenado autenticado (Contributor+) a través del URL del botón del widget
El plugin JetWidgets For Elementor para WordPress es vulnerable a XSS almacenado a través del URL del botón del widget en todas las versiones hasta, e incluyendo, la 1.0.16 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Advanced Access Manager <= 6.9.20
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Advanced Access Manager para WordPress, hasta la versión 6.9.20, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La falta de saneamiento de entradas y de escapado…
-
Popup Maker – Popup para opt-ins, generación de leads y más <= 1.18.2 – Cross-Site Scripting almacenado autenticado (Contributor+)
El plugin Popup Maker – Popup para opt-ins, generación de leads y más para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, 1.18.2 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario.…
-
Plugin de Restricción de Contenido por Código de Invitación de CreativeMinds <= 1.5.4 – Cross-Site Scripting Reflejado
El plugin de Restricción de Contenido por Código de Invitación de CreativeMinds para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘target_id’ en todas las versiones hasta, e incluyendo, la 1.5.4 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite que atacantes no autenticados inyecten scripts…
-
File Manager <= 7.2.4 – Cross-Site Request Forgery para Inclusión de Archivos JS Locales
La vulnerabilidad Cross-Site Request Forgery (CSRF) en el complemento File Manager para WordPress afecta a todas las versiones hasta la 7.2.4. Esto se debe a la falta de validación de nonce en la página wp_file_manager que incluye archivos a través del parámetro ‘lang’. Esto permite a atacantes no autenticados incluir archivos JavaScript locales que pueden…
-
Easy Maintenance Mode <= 1.4.2 – Divulgación de Información
El plugin Easy Maintenance Mode para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 1.4.2 a través de la API REST. Esto hace posible que atacantes autenticados obtengan contenido de publicaciones y páginas a través de la API REST, evitando así la protección proporcionada por el…