Ultimas Noticias
-
WordPress Action Network 1.4.3 – Inyección de SQL autenticada (Admin+)
El plugin de Action Network para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘bulk-action’ en la versión 1.4.3 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel de…
-
Elementor Website Builder – Más que un constructor de páginas <= 3.20.2 – Cross-Site Scripting almacenado dom-basado autenticado (Contribuidor+) a través del Widget de Ruta
El plugin Elementor Website Builder – Más que un constructor de páginas para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget de Ruta del plugin en todas las versiones hasta, e incluyendo, la 3.20.2 debido a la escapada insuficiente de la salida en atributos proporcionados por el usuario. Esto permite a atacantes…
-
Elementor Website Builder Pro <= 3.20.1 – XSS almacenado basado en DOM autenticado (Contribuidor+) a través de video_html_tag
El plugin Elementor Website Builder Pro para WordPress es vulnerable a XSS almacenado a través del atributo video_html_tag en todas las versiones hasta, e incluyendo, 3.20.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Website Builder Pro <= 3.20.1 para WordPress
El plugin Elementor Website Builder Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Media Carousel en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel…
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.20.1 – XSS Almacenado Autenticado (Contribuidor+) a través de la Navegación de Publicaciones
El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a XSS Almacenado a través del widget de Navegación de Publicaciones del plugin en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.…
-
Elementor Website Builder Pro <= 3.20.1 – XSS almacenado autenticado (Contribuidor+) a través de la carga de archivos SVGZ del Widget de Formulario
La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables, lo que puede comprometer la seguridad del sitio. La versión afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a través de la carga…
-
Vulnerabilidad en Link Whisper Free <= 0.7.1 – Inyección de Objetos PHP Autenticada (Contribuidor+)
La vulnerabilidad de deserialización de datos no confiables en el plugin Link Whisper Free para WordPress, en todas las versiones hasta la 0.7.1, permite la inyección de objetos PHP a través de la deserialización de la entrada no confiable del valor ‘mfn-page-items’ en el meta valor de la publicación. Esto hace posible que atacantes autenticados,…