Ultimas Noticias
-
Vulnerabilidad en Evergreen Content Poster – Eliminación Arbitraria de Publicaciones Sin Autorización
La vulnerabilidad de Missing Authorization en el plugin Evergreen Content Poster para WordPress permite a atacantes no autenticados eliminar publicaciones y páginas de forma arbitraria. La función delete_network_post() en las versiones hasta 1.4.4 de este plugin no realiza una verificación de capacidades, lo que permite a cualquier usuario no autenticado eliminar contenido sin autorización. Esto…
-
GravityForms 2.9.0.1 – 2.9.1.3 – Vulnerabilidad de Cross-Site Scripting almacenado no autenticado a través del parámetro ‘style_settings’
La vulnerabilidad CVE-2024-13378 en la versión 2.9.0.1 hasta la 2.9.1.3 de GravityForms para WordPress permite a atacantes no autenticados ejecutar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. La versión afectada de GravityForms es vulnerable a Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada…
-
GravityForms <= 2.9.1.3 – Cross-Site Scripting almacenado no autenticado a través del parámetro 'alt'
La vulnerabilidad en el plugin Gravity Forms para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin Gravity Forms para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘alt’ en todas las versiones hasta, e incluyendo,…
-
Vulnerabilidad de Autorización Ausente en WP Hotel Booking <= 2.1.5
La vulnerabilidad de ‘Improper Access Control’ en el plugin WP Hotel Booking para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad al agregar habitaciones en todas las versiones hasta, e incluyendo, la 2.1.5. Esto posibilita que atacantes no autenticados agreguen habitaciones con precios personalizados. Para subsanar…
-
Glofox Shortcodes <= 2.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin de Glofox Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los shortcodes ‘glofox’ y ‘glofox_lead_capture’ en todas las versiones hasta, e incluyendo, la 2.6 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Reflejo de Scripts entre Sitios en Sandbox <= 0.4
La vulnerabilidad de Reflejo de Scripts entre Sitios en el complemento Sandbox para WordPress, identificado con el ID CVE CVE-2024-13366, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas de WordPress si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 0.4 y anteriores…
-
Moving Users <= 1.05 – Exposición de Información Sensible sin Autenticación
El plugin Moving Users para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.05 a través de la funcionalidad de exportación. Los archivos JSON se almacenan en ubicaciones predecibles con nombres de archivo adivinables al exportar datos de usuario. Esto podría permitir a atacantes no autenticados…