Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Easy Waveform Player <= 1.2.0 para usuarios autenticados (Contributor+)
El plugin Easy Waveform Player para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘easywaveformplayer’ en todas las versiones hasta, e incluyendo, la 1.2.0 debido a la insuficiente sanitización de entrada y escapado de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de…
-
LifterLMS – WP LMS para eLearning, Cursos Online y Quizzes <= 7.8.5 – Falta de Autorización para Eliminación Arbitraria de Publicaciones (Subscriber+)
La vulnerabilidad de falta de autorización en el plugin LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes para WordPress permite la eliminación arbitraria de publicaciones debido a la ausencia de una verificación de capacidad en la acción ‘llms_delete_cert’ en todas las versiones hasta, e incluyendo, la 7.8.5. Esto posibilita que atacantes autenticados, con…
-
Vulnerabilidad de Divulgación de Información Sensible en ElementsReady Addons for Elementor <= 6.4.8 a través de Plantillas Elementor
La vulnerabilidad CVE-2024-10356 en el plugin ElementsReady Addons for Elementor permite la exposición de información sensible a actores no autorizados. En versiones hasta la 6.4.8, los atacantes autenticados con acceso de Contribuidor o superior pueden extraer datos sensibles de plantillas privadas, pendientes y borrador. El plugin ElementsReady Addons for Elementor para WordPress es vulnerable a…
-
Vulnerabilidad en plugin PPWP – Password Protect Pages <= 1.9.5 permite la exposición de información sensible
El plugin PPWP – Password Protect Pages para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.9.5 a través de la función de búsqueda principal de WordPress. Esto permite a atacantes no autenticados extraer datos sensibles de publicaciones que han sido restringidas a roles de mayor…
-
Calculo de Campos Formulario <= 5.2.63 – Denegación de Servicio
El plugin Calculo de Campos Formulario para WordPress es vulnerable a Denegación de Servicio en todas las versiones hasta, e incluyendo, la 5.2.63. Esto se debe a parámetros ilimitados de altura y anchura para imágenes CAPTCHA. Esto hace posible que atacantes no autenticados envíen múltiples solicitudes con valores grandes, lo que ralentiza los recursos del…
-
Easy Digital Downloads 3.1 – 3.3.4 – Problema de Autorización Incorrecta para Evitar la Barrera de Pago
El plugin Easy Digital Downloads para WordPress es vulnerable a una Autorización Incorrecta en las versiones 3.1 a través de 3.3.4. Esto se debe a la falta de suficientes comprobaciones de validación dentro de la función ‘verify_guest_email’ para asegurar que el usuario solicitante es el destinatario previsto del recibo de compra. Esto hace posible que…
-
Vulnerabilidad de Cross-Site Scripting en WooCommerce Additional Fees On Checkout (Free) <= 1.4.7
El plugin WooCommerce Additional Fees On Checkout (Free) para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘number’ en todas las versiones hasta, e incluyendo, la 1.4.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas…