Ultimas Noticias
-
GravityForms 2.9.0.1 – 2.9.1.3 – Vulnerabilidad de Cross-Site Scripting almacenado no autenticado a través del parámetro ‘style_settings’
La vulnerabilidad CVE-2024-13378 en la versión 2.9.0.1 hasta la 2.9.1.3 de GravityForms para WordPress permite a atacantes no autenticados ejecutar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. La versión afectada de GravityForms es vulnerable a Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada…
-
GravityForms <= 2.9.1.3 – Cross-Site Scripting almacenado no autenticado a través del parámetro 'alt'
La vulnerabilidad en el plugin Gravity Forms para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin Gravity Forms para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘alt’ en todas las versiones hasta, e incluyendo,…
-
Vulnerabilidad de Autorización Ausente en WP Hotel Booking <= 2.1.5
La vulnerabilidad de ‘Improper Access Control’ en el plugin WP Hotel Booking para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad al agregar habitaciones en todas las versiones hasta, e incluyendo, la 2.1.5. Esto posibilita que atacantes no autenticados agreguen habitaciones con precios personalizados. Para subsanar…
-
Glofox Shortcodes <= 2.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin de Glofox Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los shortcodes ‘glofox’ y ‘glofox_lead_capture’ en todas las versiones hasta, e incluyendo, la 2.6 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Reflejo de Scripts entre Sitios en Sandbox <= 0.4
La vulnerabilidad de Reflejo de Scripts entre Sitios en el complemento Sandbox para WordPress, identificado con el ID CVE CVE-2024-13366, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas de WordPress si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 0.4 y anteriores…
-
Moving Users <= 1.05 – Exposición de Información Sensible sin Autenticación
El plugin Moving Users para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.05 a través de la funcionalidad de exportación. Los archivos JSON se almacenan en ubicaciones predecibles con nombres de archivo adivinables al exportar datos de usuario. Esto podría permitir a atacantes no autenticados…
-
quote-posttype-plugin <= 1.2.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin quote-posttype-plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del campo Autor en todas las versiones hasta, e incluyendo, la 1.2.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, inyecten scripts web arbitrarios en páginas que…