Ultimas Noticias
-
Eleblog – Elementor Blog And Magazine Addons <= 1.8 – Falta de Autorización para la Desactivación de Usuarios Autenticados (Suscriptores+)
El plugin Eleblog – Elementor Blog And Magazine Addons para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función goodbye_form_callback() en todas las versiones hasta, e incluyendo, la 1.8. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
Botón de Chat Pulsante <= 1.3.6 – Falsificación de Petición entre Sitios a Scripting entre Sitios Almacenados
El plugin Botón de Chat Pulsante para WordPress es vulnerable a Falsificación de Petición entre Sitios en todas las versiones hasta, e incluyendo, la 1.3.6. Esto se debe a la falta de validación de nonce incorrecta en la función amin_chat_button_settings_page(). Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a…
-
Vulnerabilidad en Authors List <= 2.0.4 – Ejecución de Código de Shortcode Arbitrario no Autenticado a través de update_authors_list_ajax
El plugin Authors List para WordPress es vulnerable a la ejecución arbitraria de shortcode a través de la acción AJAX update_authors_list_ajax en todas las versiones hasta, e incluyendo, la 2.0.4. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto…
-
Videos Responsivos <= 2.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Responsive Videos para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘somryv’ en todas las versiones hasta, e incluyendo, la 2.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior,…
-
Vulnerabilidad de SG Helper <= 1.0 – Cross-Site Scripting almacenado autenticado (Administrador+) a través de la carga de archivos SVG
El complemento SG Helper para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en la versión 1.0 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Administrador y superior, inyecten scripts web arbitrarios en páginas que se…
-
NPS Computy <= 2.8.0 – Cross-Site Scripting Reflejado
El plugin NPS Computy para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros ‘data1’ y ‘data2’ en todas las versiones hasta, e incluyendo, la 2.8.0 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Reflejo de Scripting entre Sitios en Goodlayers Core <= 2.0.7 a través de 'font-family'
La vulnerabilidad de Reflejo de Scripting entre Sitios (Cross-Site Scripting) en el plugin Goodlayers Core para WordPress, hasta la versión 2.0.7, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad en Goodlayers Core se…