Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el plugin Standout Color Boxes and Buttons <= 0.7.0
El plugin Standout Color Boxes and Buttons para WordPress es vulnerable a ataques de Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 0.7.0 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a…
-
Traduce WordPress y hazlo Multilingüe – Weglot <= 4.2.5 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Atributos de Bloque
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Translate WordPress and go Multilingual – Weglot para WordPress en versiones hasta la 4.2.5 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, lo que representa un riesgo de seguridad para los usuarios del plugin. El plugin Translate WordPress and go Multilingual – Weglot hasta…
-
GamiPress – Button <= 1.0.7 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través de Shortcode
El plugin GamiPress – Button para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘gamipress_button’ en todas las versiones hasta, e incluyendo, la 1.0.7 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o…
-
Vulnerabilidad de Cross-Site Scripting en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates <= 4.5.3
La vulnerabilidad CVE-2024-2255 afecta al plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor y superiores insertar scripts web maliciosos en las páginas del sitio. La vulnerabilidad de Cross-Site Scripting almacenado en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates versiones…
-
GamiPress – Vulnerabilidad de Inyección de SQL Autenticada a través de Shortcode en WordPress
La vulnerabilidad CVE-2024-1799 afecta al popular plugin GamiPress para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar Inyección de SQL a través del atributo ‘achievement_types’ del shortcode gamipress_earnings en las versiones anteriores a la 6.8.6. La vulnerabilidad se debe a la falta de escape en el parámetro proporcionado por el usuario…
-
Contests by Rewards Fuel <= 2.0.64 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de update_rewards_fuel_api_key
El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘update_rewards_fuel_api_key’ en todas las versiones hasta, e incluyendo, la 2.0.64 debido a la insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web…
-
Contests by Rewards Fuel <= 2.0.62 – CSRF a XSS almacenado
El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.62. Esto se debe a la falta o validación incorrecta de nonce en la función ajax_handler(). Esto hace posible que atacantes no autenticados actualicen la configuración del plugin e inyecten JavaScript malicioso a…