Ultimas Noticias
-
Exclusive Addons for Elementor <= 2.6.9 – Cross-Site Scripting Almacenado Autenticado (Colaborador+)
El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de un atributo de datos en todas las versiones hasta, e incluyendo, la 2.6.9 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de colaborador o superior,…
-
Vulnerabilidad de Cross-Site Scripting en Exclusive Addons for Elementor <= 2.6.9 a través del Widget de Estadísticas de Covid-19
La vulnerabilidad CVE-2024-2028 afecta al plugin Exclusive Addons for Elementor en versiones anteriores a la 2.6.9, permitiendo a atacantes autenticados con nivel de colaborador o superior realizar ataques de Cross-Site Scripting almacenado a través del Widget de Estadísticas de Covid-19. La falta de sanitización de la entrada y escape de la salida en el plugin…
-
Vulnerabilidad de inyección SQL en AWeber – Plugin Constructor de Formularios de Registro y Páginas de Aterrizaje para Generación de Leads y Crecimiento de Boletines de Correo Electrónico por AWeber <= 7.3.14 – Autenticado (Admin+) SQL Injection
Una vulnerabilidad de inyección SQL ha sido descubierta en el plugin AWeber – Free Sign Up Form and Landing Page Builder Plugin for Lead Generation and Email Newsletter Growth para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de administrador o superior, agregar consultas SQL adicionales en consultas existentes para extraer información…
-
Programa exclusivo para Elementor <= 2.6.9 – Autenticado (Colaborador+) XSS almacenado a través del Widget de Temporizador de Cuenta Regresiva
El plugin Exclusive Addons for Elementor para WordPress es vulnerable a XSS almacenado a través del widget Countdown Timer en todas las versiones hasta, e incluyendo, la 2.6.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts…
-
Vulnerabilidad en Wp Social Login and Register Social Counter <= 3.0.0 – Falta de Autorización para Iniciar Sesión/Compartir en Redes Sociales sin Autenticación
El plugin Wp Social Login and Register Social Counter para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en el punto final /wp_social/v1/ de la API REST en todas las versiones hasta, e incluyendo, la 3.0.0. Esto permite que atacantes no autenticados habiliten y deshabiliten…
-
Vulnerabilidad de Inyección de Objetos PHP en Slider Responsive Slideshow – Image slider, Gallery slideshow <= 1.3.8
El plugin Slider Responsive Slideshow – Image slider, Gallery slideshow para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.8 a través de la deserialización de entrada no segura en la función awl_slider_responsive_shortcode. Esto permite que atacantes autenticados, con acceso de nivel contribuyente y superior, inyecten…
-
Giveaways y Concursos por RafflePress <= 1.12.5 – Cross-Site Scripting Almacenado No Autenticado
Se ha identificado una vulnerabilidad en el plugin Giveaways y Concursos por RafflePress para WordPress que podría permitir a atacantes no autenticados realizar Cross-Site Scripting almacenado en sitios web vulnerables. La vulnerabilidad CVE-2024-1935, conocida como Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS), afecta a la versión 1.12.5 y anteriores de…