Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en WPBITS Addons Para Elementor Page Builder <= 1.3.4.2 – Autenticado (Contribuidor+)
El plugin WPBITS Addons Para Elementor Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de encabezado del plugin en todas las versiones hasta, e incluyendo, 1.3.4.2 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por usuarios. Esto permite que atacantes autenticados…
-
Vulnerabilidad de XSS almacenado en UX Flat <= 4.1 – Autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-2459 afecta al plugin UX Flat para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior ejecutar scripts maliciosos en páginas web. El plugin UX Flat para WordPress es vulnerable a XSS almacenado a través del shortcode ‘button’ en todas las versiones hasta la 4.1 debido a una sanitización insuficiente de…
-
Gestión de App para WooCommerce – Notificaciones de pedido, Gestión de pedido, Gestión de clientes, Monitoreo de tiempo de actividad <= 1.2.0 – Carga de Archivos Arbitraria (Subscriptor+)
La vulnerabilidad de carga de archivos arbitraria en el plugin de WordPress Management App for WooCommerce – Order notifications, Order management, Lead management, Uptime Monitoring se debe a la falta de validación de tipos de archivo en la función nouvello_upload_csv_file en todas las versiones hasta, e incluyendo, la 1.2.0. Esto permite a atacantes autenticados, con…
-
Avada <= 7.11.6 – Divulgación de Información Sensible no Autenticada a través de Listado de Directorios de Cargas de Formularios
La vulnerabilidad CVE-2024-2340 afecta al tema de WordPress Avada en versiones hasta 7.11.6, permitiendo la divulgación de información sensible a través del directorio ‘/wp-content/uploads/fusion-forms/’. Esto posibilita que atacantes no autenticados puedan extraer datos sensibles cargados a través de un formulario creado con Avada que incluya un mecanismo de carga de archivos. Los usuarios de Avada…
-
Avada <= 7.11.6 – Inyección SQL autenticada (Admin+) a través de la entrada
El tema Avada para WordPress es vulnerable a Inyección SQL a través del parámetro ‘entry’ en todas las versiones hasta, e incluyendo, la 7.11.6 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso…
-
Vulnerabilidad en WooCommerce Cloak Affiliate Links <= 1.0.33 – Falta de Autorización para Modificación de Permalink sin Autenticación
La vulnerabilidad de acceso incorrecto en el plugin WooCommerce Cloak Affiliate Links para WordPress permite la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función ‘permalink_settings_save’ en todas las versiones hasta, e incluyendo, la 1.0.33. Esto permite que atacantes no autenticados modifiquen la base de enlaces de afiliados,…
-
Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments <= 1.6.7.7 – Inyección SQL Autenticada (Contributor+) a través de Shortcode
El plugin de WordPress Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments es vulnerable a Inyección SQL a través del parámetro customer_id en todas las versiones hasta, e incluyendo, la 1.6.7.7 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en…