Ultimas Noticias
-
MainWP Dashboard <= 4.6.0.1 – Vulnerabilidad CSRF a través de posting_bulk
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance en versiones hasta la 4.6.0.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘posting_bulk’. Esto permite a atacantes no autenticados eliminar publicaciones arbitrarias mediante una solicitud falsificada si logran engañar a…
-
WPvivid Backup for MainWP <= 0.9.32 – Cross-Site Scripting Reflejado
El plugin WPvivid Backup for MainWP para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, 0.9.32 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder – WordPress Page Builder <= 2.7.4.2
La vulnerabilidad CVE-2024-1074 afecta al plugin Beaver Builder – WordPress Page Builder en versiones hasta 2.7.4.2, permitiendo a atacantes autenticados realizar Cross-Site Scripting a través del parámetro ‘link_url’ del widget de audio. Se ha identificado que la falta de sanitización de entradas y escape de salidas en el plugin Beaver Builder – WordPress Page Builder…
-
Download Manager <= 3.2.85 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Download Manager Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta la 3.2.85. Esto se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de…
-
Download Manager <= 3.2.84 – Falta de Autorización
El complemento Download Manager para WordPress es vulnerable a la descarga no autorizada de archivos agregados a través del complemento en todas las versiones hasta, e incluyendo, la 3.2.84. Esto permite que atacantes no autenticados descarguen archivos agregados con el complemento (incluso cuando se publican de forma privada). La falta de control de acceso adecuado…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Essential Blocks para WordPress
La vulnerabilidad de Cross-Site Scripting almacenado en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates <= 4.5.1 afecta la seguridad de los sitios web de WordPress que utilizan este plugin. La falla de seguridad CVE-2024-1854, catalogada como ‘Validación de entrada inadecuada’, permite que atacantes autenticados con acceso de colaborador o superior inyecten scripts…
-
Custom Field Suite <= 2.6.4 – Cross-Site Scripting Almacenado autenticado (Admin+)
El plugin Custom Field Suite para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de una importación de metadatos en todas las versiones hasta, e incluyendo, 2.6.4 debido a una insuficiente sanitización de la entrada y escapado de la salida en los valores de metadatos. Esto permite a atacantes autenticados, con permisos de administrador…