Ultimas Noticias
-
Inyección de Objetos PHP Autenticada en PDF Invoices and Packing Slips For WooCommerce <= 1.3.7
El plugin PDF Invoices and Packing Slips For WooCommerce para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.7 a través de la deserialización de entrada no segura a través del parámetro order_id. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, inyecten…
-
Happy Addons para Elementor <= 3.10.3 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Widget Meta de Autor
El plugin Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo ‘author_meta_tag’ del Widget Meta de Autor en todas las versiones hasta, e incluyendo, la 3.10.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Simple Membership <= 4.4.2 – Cross-Site Scripting basado en almacenamiento sin autenticación
La vulnerabilidad CVE-2024-1985 afecta al plugin Simple Membership para WordPress, permitiendo a atacantes no autenticados realizar ataques de Cross-Site Scripting almacenado a través del parámetro ‘Nombre a mostrar’. Esta vulnerabilidad se da en todas las versiones hasta la 4.4.2 debido a una insuficiente sanitización de entrada y escape de salida. Los atacantes podrían inyectar scripts…
-
Logo Showcase Ultimate – Logo Carousel, Logo Slider & Logo Grid <= 1.3.8 – Inyección de Objetos PHP Autenticada (Contribuidor+)
La vulnerabilidad de Inyección de Objetos PHP en el plugin Logo Showcase Ultimate – Logo Carousel, Logo Slider & Logo Grid para WordPress, en versiones hasta 1.3.8, permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar un Objeto PHP a través de deserialización de entrada no confiable a través de shortcodes. Esto significa…
-
Vulnerabilidad de Inyección de Objetos PHP Autenticada en Product Carousel Slider & Grid Ultimate for WooCommerce <= 1.9.7
La vulnerabilidad de deserialización de datos no confiables en el plugin Product Carousel Slider & Grid Ultimate for WooCommerce para WordPress permite la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.9.7 a través de la deserialización de datos no confiables a través de un shortcode. Esto hace posible que atacantes…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Fluent Forms <= 5.1.9
El plugin Fluent Forms para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada en todas las versiones hasta la 5.1.9 debido a una insuficiente sanitización de entradas y escape de salidas. Esta vulnerabilidad permite a los atacantes insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página…
-
Plugin de Compartir en Redes Sociales – Sassy Social Share <= 3.3.58 – Cross-Site Scripting Almacenado Autenticado (Contributory+) a través de Shortcode
El plugin de Compartir en Redes Sociales – Sassy Social Share para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘Sassy_Social_Share’ en todas las versiones hasta, e incluyendo, la 3.3.58 debido a una insuficiente sanitización de la entrada y escapado de la salida en atributos proporcionados por el usuario como ‘url’. Esto…