Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.21
El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL de configuración de imágenes de los widgets Banner, Team Members e Image Scroll en todas las versiones hasta la 4.10.21, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…
-
Soluciones para Restaurant Solutions – Checklist 1.0.0 – Authenticated (Admin+) Stored Cross-Site Scripting
El plugin Restaurant Solutions – Checklist para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los puntos de la lista de verificación en la versión 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar secuencias de comandos…
-
Marketing Optimizer <= 20200925 – Vulnerabilidad CSRF a XSS Almacenado
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Marketing Optimizer para WordPress afecta a todas las versiones hasta, e incluyendo, 20200925. Esto se debe a la falta de validación de nonce incorrecta a través del archivo admin/main-settings-page.php. Esto permite que atacantes no autenticados actualicen la configuración del plugin e inyecten JavaScript malicioso a…
-
WPvivid Backup and Migration <= 0.9.68 – Falta de Autorización
El plugin Migration, Backup, Staging – WPvivid para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en las funciones get_restore_progress() y restore() en todas las versiones hasta, e incluyendo, la 0.9.68. Esto permite que atacantes no autenticados aprovechen una vulnerabilidad de inyección SQL o provoquen un ataque…
-
Events Manager <= 6.4.6.4 – XSS Cruzado Almacenado Autenticado(Administrador+) a través de ajustes
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Events Manager para WordPress permite a atacantes autenticados con permisos de administrador o superiores insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin Events Manager para WordPress es vulnerable a XSS almacenado a través de…
-
Friends <= 2.8.5 – SSRF Autenticado (Admin+)
En este reporte se detalla la vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Friends para WordPress en versiones hasta 2.8.5, la cual permite a atacantes autenticados realizar solicitudes a servidores arbitrarios desde la aplicación web. La vulnerabilidad SSRF en el plugin Friends se encuentra en la función discover_available_feeds, lo que posibilita a atacantes…
-
WPvivid Backup and Migration <= 0.9.68 – Inyección de SQL no autenticada
La vulnerabilidad de inyección de SQL en el plugin de WordPress Migration, Backup, Staging – WPvivid en la versión 0.9.68 permite a atacantes no autenticados añadir consultas SQL adicionales que pueden ser utilizadas para extraer información sensible de la base de datos. La vulnerabilidad CVE-2024-1981 en el plugin WPvivid Backup and Migration versiones anteriores a…