Ultimas Noticias
-
Vulnerabilidad SQL Injection en Tutor LMS – eLearning and online course solution <= 2.6.1 (CVE-2024-1751)
La vulnerabilidad de inyección SQL en el plugin Tutor LMS – eLearning and online course solution para WordPress permite a atacantes autenticados con acceso de suscriptor/estudiante o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. La versión 2.6.1 y anteriores del plugin Tutor LMS son vulnerables…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Elementor Header & Footer Builder <= 1.6.24
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Elementor Header & Footer Builder para WordPress. Esta vulnerabilidad, identificada con el ID CVE CVE-2024-1237, permite a atacantes autenticados inyectar scripts web maliciosos en páginas del sitio afectado. La vulnerabilidad reside en el atributo flyout_layout del plugin Elementor Header & Footer Builder…
-
Site Reviews <= 6.11.4 – Cross-Site Scripting por nombre de usuario almacenado autenticado(Subscriber+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Site Reviews para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio. El plugin Site Reviews para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de usuario en todas las versiones hasta, e inclusivo, la 6.11.4 debido a…
-
News Announcement Scroll <= 9.0.0 – Inyección SQL Autenticada (Colaborador+) a través de Shortcode
La vulnerabilidad CVE-2023-5663, denominada ‘Neutralización Inadecuada de Elementos Especiales utilizados en un Comando SQL (Inyección SQL)’, afecta al plugin News Announcement Scroll para WordPress en versiones hasta, e incluyendo, la 9.0.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de colaborador o superiores, insertar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para…
-
Beaver Builder – WordPress Page Builder <= 2.7.4.4 – Cross-Site Scripting Vulnerabilidad de XSS almacenada autenticada (Contribuyente+)
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la etiqueta de encabezado en todas las versiones hasta, e incluyendo, 2.7.4.4 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuyente y superior, inyectar…
-
Vulnerabilidad de Missing Authorization en Auto Affiliate Links <= 6.4.3
El plugin Auto Affiliate Links para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función aalAddLink en todas las versiones hasta, e incluyendo, la 6.4.3. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, añadan enlaces arbitrarios a las publicaciones.…
-
Mollie Forms <= 2.6.3 – Falta de Autorización
El plugin Mollie Forms para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidades en la función exportRegistrations en todas las versiones hasta, e incluyendo, la 2.6.3. Esto hace posible que atacantes autenticados, con acceso de subscriptor o superior, puedan exportar datos de pago recopilados por…