Ultimas Noticias
-
Videoconferencia con Zoom <= 4.4.5 – Exposición de Información Sensible
El plugin Video Conferencing with Zoom para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 4.4.5 a través de la acción AJAX get_assign_host_id. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, enumerar nombres de usuario, correos electrónicos e IDs de todos los usuarios…
-
Editor de Campos Personalizados en WooCommerce Checkout <= 1.3.1 – Cross-Site Scripting Almacenado Autenticado (Suscriptor+)
El plugin Editor de Campos Personalizados en WooCommerce Checkout para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la función save_wcfe_options en todas las versiones hasta, e incluyendo, la 1.3.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel suscriptor…
-
Vulnerabilidad en WooCommerce Clover Payment Gateway <= 1.3.1 – Falta de autorización a través del callback_handler
El plugin WooCommerce Clover Payment Gateway para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función callback_handler en todas las versiones hasta, e incluyendo, la 1.3.1. Esto permite que atacantes no autenticados marquen pedidos como pagados. La falta de control de capacidades en…
-
Integración BuddyPress WooCommerce My Account. Crear páginas de Miembro de WooCommerce <= 3.4.20 – Inyección de Objeto PHP Autenticado (Suscriptor+) en get_simple_request
El plugin ‘BuddyPress WooCommerce My Account Integration. Create WooCommerce Member Pages’ para WordPress es vulnerable a Inyección de Objeto PHP en todas las versiones hasta, e incluyendo, la 3.4.20 a través de la deserialización de datos no confiables en la función get_simple_request. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Move Addons for Elementor <= 1.2.9
La vulnerabilidad CVE-2024-2131 afecta al plugin de WordPress Move Addons for Elementor, permitiendo a atacantes autenticados con permisos de contributor o superiores inyectar scripts web arbitrarios en páginas. El plugin Move Addons for Elementor hasta la versión 1.2.9 es vulnerable a Cross-Site Scripting almacenado a través del infobox y el widget de botón del plugin,…
-
360 Javascript Viewer <= 1.7.12 – Falta de Autorización para Actualizar Ajustes de Plugin
El plugin 360 Javascript Viewer para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades y exposición de nonce en varias acciones AJAX en todas las versiones hasta, e incluyendo, la 1.7.12. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen…
-
Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.2.25 – XSS Stored Cross-Site Scripting a través del Widget de Testimonios
El plugin Gutenberg Blocks by Kadence Blocks – Page Builder Features para WordPress es vulnerable a XSS Stored Cross-Site Scripting a través del parámetro de estilo de anclaje del Widget de Testimonios en todas las versiones hasta, e incluyendo, la 3.2.25 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a…