Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en The Plus Addons for Elementor <= 5.4.0
El plugin The Plus Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘_id’ del widget Header Meta Content en todas las versiones hasta, e incluyendo, la 5.4.0 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Happy Addons for Elementor <= 3.10.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget de Título de Archivo
La vulnerabilidad CVE-2024-1366 en el complemento Happy Addons for Elementor permite a atacantes autenticados realizar Cross-Site Scripting almacenado a través del atributo ‘archive_title_tag’ del widget de Título de Archivo, afectando a todas las versiones hasta la 3.10.3. Esto podría permitir a atacantes con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios en…
-
Vulnerabilidad de XSS almacenado en WP Chat App <= 3.6.1 a través de atributos de bloque
El plugin WP Chat App para WordPress es vulnerable a XSS almacenado a través del widget/bloque del plugin en todas las versiones hasta la 3.6.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario como ‘buttonColor’ y ‘phoneNumber’. Esto permite a atacantes autenticados con permisos de contribuidor…
-
Vulnerabilidad de Cross-Site Scripting en Royal Elementor Addons and Templates <= 1.3.91 a través del Widget de Logo
La vulnerabilidad CVE-2024-1500 afecta al plugin de WordPress Royal Elementor Addons and Templates en todas las versiones hasta la 1.3.91, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web. La falta de sanitización de entrada y escape de salida en las URLs proporcionadas por los usuarios en el…
-
Inyección de Objetos PHP Autenticada en PDF Invoices and Packing Slips For WooCommerce <= 1.3.7
El plugin PDF Invoices and Packing Slips For WooCommerce para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.7 a través de la deserialización de entrada no segura a través del parámetro order_id. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, inyecten…
-
Happy Addons para Elementor <= 3.10.3 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Widget Meta de Autor
El plugin Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo ‘author_meta_tag’ del Widget Meta de Autor en todas las versiones hasta, e incluyendo, la 3.10.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Simple Membership <= 4.4.2 – Cross-Site Scripting basado en almacenamiento sin autenticación
La vulnerabilidad CVE-2024-1985 afecta al plugin Simple Membership para WordPress, permitiendo a atacantes no autenticados realizar ataques de Cross-Site Scripting almacenado a través del parámetro ‘Nombre a mostrar’. Esta vulnerabilidad se da en todas las versiones hasta la 4.4.2 debido a una insuficiente sanitización de entrada y escape de salida. Los atacantes podrían inyectar scripts…