Ultimas Noticias
-
Nextend Social Login y Register <= 3.1.12 – Cross-Site Scripting Reflejado Self-Based a través de error_description
El plugin Nextend Social Login y Register para WordPress es vulnerable a un Cross-Site Scripting Reflejado Self-Based a través del parámetro ‘error_description’ en todas las versiones hasta, e incluyendo, la 3.1.12 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes no autenticados, con acceso a una cuenta…
-
Complianz – Consentimiento de Cookies GDPR/CCPA <= 6.5.6 – Falsificación de Petición Cruzada para la Eliminación de Solicitudes de Datos
El plugin Complianz – Consentimiento de Cookies GDPR/CCPA para WordPress es vulnerable a Falsificación de Petición Cruzada (CSRF) en todas las versiones hasta, e incluyendo, la 6.5.6. Esto se debe a la validación de nonce faltante o incorrecta en la función process_delete en class-DNSMPD.php. Esto hace posible que atacantes no autenticados eliminen solicitudes de datos…
-
Calculo de Campos Formulario Profesional <= 5.1.56 – Cross-Site Scripting Almacenado sin Autenticación
La vulnerabilidad CVE-2024-2020 afecta al plugin Calculated Fields Form para WordPress en versiones hasta la 5.1.56. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página afectada. La versión profesional o superior del plugin Calculated Fields Form para WordPress es vulnerable…
-
GenerateBlocks <= 1.8.2 – Exposición de Información Sensible
El plugin GenerateBlocks para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.8.2 a través de Query Loop. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, puedan ver el contenido de publicaciones y páginas en estado de borrador o privadas, así como…
-
WP Show Posts <= 1.1.4 – Revelación de Información
El plugin WP Show Posts para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.1.4 a través de la función wpsp_display. Esto hace posible que atacantes autenticados con acceso de contribuidor y superior puedan ver el contenido de borradores, basura, futuros, privados y publicaciones pendientes y…
-
NextMove Lite y Finale Lite – Vulnerabilidad de Divulgación de Información sin Autorización
En este reporte de seguridad se revela una vulnerabilidad en los plugins NextMove Lite – Thank You Page for WooCommerce y Finale Lite – Sales Countdown Timer & Discount for WooCommerce. Esta vulnerabilidad, identificada con el ID CVE-2024-1120, permite a atacantes no autenticados acceder a información del sistema sin autorización. La vulnerabilidad radica en la…
-
Addons Exclusivos para Elementor <= 2.6.9 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a Través del Widget de Llamada a la Acción
La vulnerabilidad Cross-Site Scripting almacenado en el plugin Exclusive Addons for Elementor para WordPress, hasta la versión 2.6.9, permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. La vulnerabilidad se debe a una insuficiente sanitización de entrada y escapado de salida en el widget…