Ultimas Noticias
-
Vulnerabilidad XSS almacenada en Shariff Wrapper <= 4.6.9 para usuarios autenticados (Contributor+)
El plugin Shariff Wrapper para WordPress es vulnerable a XSS almacenado a través del shortcode ‘shariff’ en todas las versiones hasta la 4.6.9 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por usuarios como ‘info_text’. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web…
-
Vulnerabilidad de Cross-Site Scripting en WP Go Maps (anteriormente WP Google Maps) <= 9.0.32 – Autenticado (Contributor+) Stored Cross-Site Scripting a través de Shortcode
La vulnerabilidad CVE-2024-1582 en el plugin WP Go Maps (anteriormente WP Google Maps) para WordPress permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página comprometida. El plugin WP Go Maps es vulnerable a Cross-Site Scripting almacenado debido a la…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Easy Social Feed para WordPress
La vulnerabilidad CVE-2024-1278 permite a atacantes autenticados con permisos de nivel colaborador o superior inyectar scripts web maliciosos en páginas de WordPress utilizando el shortcode ‘efb_likebox’ del plugin Easy Social Feed. Esto puede resultar en la ejecución de scripts arbitrarios cuando un usuario accede a la página comprometida. La falta de sanitización de entrada y…
-
Vulnerabilidad CSRF en Easy Social Feed <= 6.5.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Easy Social Feed para WordPress afecta a todas las versiones hasta la 6.5.4. Esta vulnerabilidad se debe a la falta de validación de nonce en las funciones esf_insta_save_access_token y efbl_save_facebook_access_token, lo que permite a atacantes no autenticados conectar sus páginas de Facebook e Instagram al…
-
Vulnerabilidad HT Mega <= 2.4.6 – XSS almacenado autenticado (Contributor+) a través de titleTag
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a XSS almacenado a través de los bloques del plugin en todas las versiones hasta la 2.4.6 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario ‘titleTag’. Esto permite a atacantes…
-
Vulnerabilidad de Cross-Site Request Forgery en Easy Social Feed <= 6.5.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Easy Social Feed – Social Photos Gallery – Post Feed – Like Box para WordPress afecta a todas las versiones hasta la 6.5.4. Esta vulnerabilidad se debe a la falta o validación incorrecta del nonce en la función save_groups_list. Esto permite a atacantes no autenticados…
-
Exposición de Información Sensible a través del Endpoint de la API get_posts en Post Grid Combo
El plugin Post Grid Combo – 36+ Gutenberg Blocks para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.2.68 a través del Endpoint ‘get_posts’ de la API REST. Esto permite que atacantes no autenticados extraigan datos sensibles que incluyen publicaciones completas en borrador y publicaciones protegidas…