Ultimas Noticias
-
Tutor LMS – Solución de eLearning y cursos en línea <= 2.6.1 – Falta de Autorización para Eliminación Arbitraria de Posts
El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función tutor_delete_announcement() en todas las versiones hasta, e incluyendo, la 2.6.1. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y…
-
Vulnerabilidad en Awesome Support <= 6.1.6 – Autorización Insuficiente a través de wpas_can_delete_attachments()
El plugin de WordPress Awesome Support – WordPress HelpDesk & Support Plugin es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidades insuficiente en la función wpas_can_delete_attachments() en todas las versiones hasta, e incluyendo, la 6.1.6. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen adjuntos…
-
Vulnerabilidad de XSS almacenado en plugin HT Mega – Absolute Addons For Elementor <= 2.4.4
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a un XSS almacenado a través del atributo ‘border_type’ del widget Post Carousel en todas las versiones hasta la 2.4.4. Esto permite a atacantes autenticados con niveles de acceso de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Bulgarisation para WooCommerce <= 3.0.14 – Falta de Autorización
El plugin Bulgarisation para WooCommerce en WordPress es vulnerable a accesos no autorizados debido a la falta de comprobaciones de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 3.0.14. Esto hace posible que atacantes no autenticados y autenticados, con acceso de nivel suscriptor y superior, generen y eliminen etiquetas. Una forma…
-
Vulnerabilidad de Cross-site scripting almacenado en Sky Addons for Elementor <= 2.4.0
La vulnerabilidad CVE-2024-2286 en el complemento Sky Addons for Elementor para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad de los usuarios. La versión 2.4.0 y anteriores del complemento Sky Addons for Elementor para WordPress son vulnerables a Cross-site scripting…
-
Vulnerabilidad de Cross-Site Scripting en weForms <= 1.6.21 a través del Referer sin autenticación
La vulnerabilidad CVE-2024-0386 en el plugin weForms para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, lo que puede poner en riesgo la seguridad de los usuarios. La vulnerabilidad de Cross-Site Scripting (XSS) almacenada en weForms hasta la versión 1.6.21 se debe a una insuficiente sanitización de entrada y escape…
-
Vulnerabilidad de Cross-Site Request Forgery en el plugin Bulgarisation for WooCommerce <= 3.0.14
El plugin Bulgarisation for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.0.14. Esto se debe a la falta o validación incorrecta de nonce en varias funciones. Esto hace posible que atacantes no autenticados generen y eliminen etiquetas a través de una solicitud falsificada, siempre que…