Ultimas Noticias
-
Vulnerabilidad en LadiApp: Missing Authorization en publish_lp()
La vulnerabilidad en el plugin LadiApp para WordPress, identificada con el ID CVE-2023-4728, permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite a atacantes autenticados con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en Newsletter2Go <= 4.0.13
El plugin Newsletter2Go para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘style’ en todas las versiones hasta, e incluyendo, la 4.0.13 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que…
-
f(x) Private Site <= 1.2.1 – Exposición de Información Sensible
El plugin f(x) Private Site para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.2.1 a través de la API. Esto hace posible que atacantes no autenticados obtengan contenido de páginas y publicaciones de un sitio protegido con este plugin. Los usuarios afectados por esta vulnerabilidad…
-
Vulnerabilidad en WP Statistics <= 14.5 – Cross-Site Scripting almacenado sin autenticación
La vulnerabilidad CVE-2024-2194 afecta al plugin WP Statistics para WordPress, permitiendo a atacantes no autenticados inyectar scripts maliciosos en páginas web a través de parámetros de búsqueda en la URL. La falta de sanitización de entradas y escape de salida en las versiones hasta la 14.5 del plugin WP Statistics para WordPress permite a atacantes…
-
Vulnerabilidad SQL Injection en Tutor LMS – eLearning and online course solution <= 2.6.1 (CVE-2024-1751)
La vulnerabilidad de inyección SQL en el plugin Tutor LMS – eLearning and online course solution para WordPress permite a atacantes autenticados con acceso de suscriptor/estudiante o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. La versión 2.6.1 y anteriores del plugin Tutor LMS son vulnerables…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Elementor Header & Footer Builder <= 1.6.24
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Elementor Header & Footer Builder para WordPress. Esta vulnerabilidad, identificada con el ID CVE CVE-2024-1237, permite a atacantes autenticados inyectar scripts web maliciosos en páginas del sitio afectado. La vulnerabilidad reside en el atributo flyout_layout del plugin Elementor Header & Footer Builder…
-
Site Reviews <= 6.11.4 – Cross-Site Scripting por nombre de usuario almacenado autenticado(Subscriber+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Site Reviews para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio. El plugin Site Reviews para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de usuario en todas las versiones hasta, e inclusivo, la 6.11.4 debido a…