Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Flower Delivery by Florist One <= 3.9
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Flower Delivery by Florist One para WordPress permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas, poniendo en riesgo la seguridad de los usuarios del sitio. La vulnerabilidad reside en el shortcode ‘flower-delivery’ del plugin, el cual no realiza…
-
Vulnerabilidad de Cross-Site Scripting en WP Job Manager – Company Profiles <= 1.7
La vulnerabilidad CVE-2023-6978 en el plugin WP Job Manager – Company Profiles para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios a través del parámetro ‘company’, lo que puede llevar a la ejecución de código malicioso en el navegador del usuario. La falta de sanitización de entradas y escapado de salida en la…
-
Dollie Hub – Construye tu propia plataforma de nube de WordPress <= 6.2.0 – Divulgación de Publicaciones Autenticadas (Contribuidor+)
La vulnerabilidad CVE-2024-12099 en el complemento Dollie Hub para WordPress permite a atacantes autenticados con acceso de Contribuidor o superior, eludir la autorización y acceder a datos sensibles en publicaciones protegidas por contraseña, privadas o en borrador. El complemento Dollie Hub – Construye tu propia plataforma de nube de WordPress para WordPress es vulnerable a…
-
SearchIQ – La Solución de Búsqueda <= 4.6 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
Descripción sobre la vulnerabilidad CVE-2024-10885 que afecta al plugin SearchIQ – La Solución de Búsqueda en WordPress La vulnerabilidad CVE-2024-10885 afecta al plugin SearchIQ – La Solución de Búsqueda en WordPress en todas las versiones hasta la 4.6. Esto se debe a una insuficiente sanitización de entradas y escapado de salida en los atributos suministrados…
-
Contact Form, Encuestas y Constructor de Formularios – MightyForms <= 1.3.9 – Cross-Site Scripting Almacenado (Autenticado como Contributor+)
El plugin de WordPress Contact Form, Encuestas y Constructor de Formularios – MightyForms es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘mightyforms’ en todas las versiones hasta, e incluyendo, la 1.3.9 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados,…
-
Funnelforms Free <= 3.7.4.1 – Inyección de Objetos PHP Autenticada (Colaborador+)
El plugin Interactive Contact Form and Multi Step Form Builder with Drag & Drop Editor – Funnelforms Free para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.7.4.1 a través de la deserialización de datos no confiables. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor…
-
Posti Shipping <= 3.10.3 – CSRF a XSS almacenado a través de la función generate_notices_html
El plugin de Posti Shipping para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.10.3. Esto se debe a la falta o incorrecta validación de nonce en la función generate_notices_html(). Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada,…