Ultimas Noticias
-
Booking for Appointments and Events Calendar – Amelia <= 1.0.98 – Cross-Site Scripting Reflejado
El plugin de WordPress Booking for Appointments and Events Calendar – Amelia es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros de fecha en todas las versiones hasta, e incluyendo, la 1.0.98 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
Visual Composer Premium <= 45.6.0 – XSS almacenado autenticado (Colaborador+)
El plugin Visual Composer Website Builder, Landing Page Builder, Custom Theme Builder, Maintenance Mode & Coming Soon Pages para WordPress es vulnerable a XSS almacenado a través de los campos personalizados del plugin en todas las versiones hasta la 45.6.0 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por…
-
Vulnerabilidad CVE-2024-27189 en WP Social Widget <= 2.2.5 – Cross-Site Scripting almacenado autenticado (Contributor+)
La vulnerabilidad CVE-2024-27189 en el plugin de WordPress WP Social Widget hasta la versión 2.2.5 permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas del sitio. El plugin de WP Social Widget es vulnerable a Cross-Site Scripting almacenado a través del shortcode del plugin en todas las versiones…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.21
El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL de configuración de imágenes de los widgets Banner, Team Members e Image Scroll en todas las versiones hasta la 4.10.21, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…
-
Soluciones para Restaurant Solutions – Checklist 1.0.0 – Authenticated (Admin+) Stored Cross-Site Scripting
El plugin Restaurant Solutions – Checklist para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los puntos de la lista de verificación en la versión 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar secuencias de comandos…
-
Marketing Optimizer <= 20200925 – Vulnerabilidad CSRF a XSS Almacenado
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Marketing Optimizer para WordPress afecta a todas las versiones hasta, e incluyendo, 20200925. Esto se debe a la falta de validación de nonce incorrecta a través del archivo admin/main-settings-page.php. Esto permite que atacantes no autenticados actualicen la configuración del plugin e inyecten JavaScript malicioso a…
-
WPvivid Backup and Migration <= 0.9.68 – Falta de Autorización
El plugin Migration, Backup, Staging – WPvivid para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en las funciones get_restore_progress() y restore() en todas las versiones hasta, e incluyendo, la 0.9.68. Esto permite que atacantes no autenticados aprovechen una vulnerabilidad de inyección SQL o provoquen un ataque…