Ultimas Noticias
-
Logo Showcase Ultimate – Logo Carousel, Logo Slider & Logo Grid <= 1.3.8 – Inyección de Objetos PHP Autenticada (Contribuidor+)
La vulnerabilidad de Inyección de Objetos PHP en el plugin Logo Showcase Ultimate – Logo Carousel, Logo Slider & Logo Grid para WordPress, en versiones hasta 1.3.8, permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar un Objeto PHP a través de deserialización de entrada no confiable a través de shortcodes. Esto significa…
-
Vulnerabilidad de Inyección de Objetos PHP Autenticada en Product Carousel Slider & Grid Ultimate for WooCommerce <= 1.9.7
La vulnerabilidad de deserialización de datos no confiables en el plugin Product Carousel Slider & Grid Ultimate for WooCommerce para WordPress permite la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.9.7 a través de la deserialización de datos no confiables a través de un shortcode. Esto hace posible que atacantes…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Fluent Forms <= 5.1.9
El plugin Fluent Forms para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada en todas las versiones hasta la 5.1.9 debido a una insuficiente sanitización de entradas y escape de salidas. Esta vulnerabilidad permite a los atacantes insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página…
-
Plugin de Compartir en Redes Sociales – Sassy Social Share <= 3.3.58 – Cross-Site Scripting Almacenado Autenticado (Contributory+) a través de Shortcode
El plugin de Compartir en Redes Sociales – Sassy Social Share para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘Sassy_Social_Share’ en todas las versiones hasta, e incluyendo, la 3.3.58 debido a una insuficiente sanitización de la entrada y escapado de la salida en atributos proporcionados por el usuario como ‘url’. Esto…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Ebook Store <= 5.788
La vulnerabilidad CVE-2024-23501 afecta al plugin Ebook Store para WordPress, permitiendo a atacantes autenticados con nivel de administrador o superior realizar ataques de Cross-Site Scripting almacenado a través de la configuración de administrador. Esto puede resultar en la ejecución de scripts maliciosos en las páginas del sitio web. La vulnerabilidad se debe a la falta…
-
Calendario de Reserva de Citas — Plugin de Reserva de Citas Simply Schedule Appointments <= 1.6.6.20 – Falsificación de Petición entre Sitios para Restablecer Datos del Plugin
El plugin de WordPress Calendario de Reserva de Citas — Simply Schedule Appointments Booking Plugin es vulnerable a Falsificación de Petición entre Sitios (CSRF) en todas las versiones hasta, e incluyendo, la 1.6.6.20. Esto se debe a la falta o incorrecta validación de nonce en la función ssa_factory_reset(). Esto hace posible que atacantes no autenticados…
-
Total <= 2.1.59 – Falta de Autorización para Actualizar Secciones de Usuarios Autenticados (Suscriptor+)
El tema Total para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función total_order_sections() en todas las versiones hasta, e incluyendo, la 2.1.59. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, repetir secciones en la página de inicio.…