Ultimas Noticias
-
Vulnerabilidad de XSS almacenado en plugin HT Mega – Absolute Addons For Elementor <= 2.4.4
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a un XSS almacenado a través del atributo ‘border_type’ del widget Post Carousel en todas las versiones hasta la 2.4.4. Esto permite a atacantes autenticados con niveles de acceso de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Bulgarisation para WooCommerce <= 3.0.14 – Falta de Autorización
El plugin Bulgarisation para WooCommerce en WordPress es vulnerable a accesos no autorizados debido a la falta de comprobaciones de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 3.0.14. Esto hace posible que atacantes no autenticados y autenticados, con acceso de nivel suscriptor y superior, generen y eliminen etiquetas. Una forma…
-
Vulnerabilidad de Cross-site scripting almacenado en Sky Addons for Elementor <= 2.4.0
La vulnerabilidad CVE-2024-2286 en el complemento Sky Addons for Elementor para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad de los usuarios. La versión 2.4.0 y anteriores del complemento Sky Addons for Elementor para WordPress son vulnerables a Cross-site scripting…
-
Vulnerabilidad de Cross-Site Scripting en weForms <= 1.6.21 a través del Referer sin autenticación
La vulnerabilidad CVE-2024-0386 en el plugin weForms para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, lo que puede poner en riesgo la seguridad de los usuarios. La vulnerabilidad de Cross-Site Scripting (XSS) almacenada en weForms hasta la versión 1.6.21 se debe a una insuficiente sanitización de entrada y escape…
-
Vulnerabilidad de Cross-Site Request Forgery en el plugin Bulgarisation for WooCommerce <= 3.0.14
El plugin Bulgarisation for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.0.14. Esto se debe a la falta o validación incorrecta de nonce en varias funciones. Esto hace posible que atacantes no autenticados generen y eliminen etiquetas a través de una solicitud falsificada, siempre que…
-
Blossom Spa <= 1.3.4 – Exposición de Información Sensible
El tema Blossom Spa para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.3.4 a través del código fuente generado. Esto permite a los atacantes no autenticados extraer datos sensibles, incluidos los contenidos de publicaciones protegidas con contraseña o programadas. La falta de autorización en el…
-
CWW Companion <= 1.2.7 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin CWW Companion para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Module2 en todas las versiones hasta, e incluyendo, la 1.2.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor…