Ultimas Noticias
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 4.0.5.3 – Cross-Site Scripting Almacenado no Autenticado a través del Nombre de la Categoría de Entrada y Tipo de Entrada
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros em_ticket_category_data y em_ticket_individual_data en todas las versiones hasta, e incluyendo, la 4.0.5.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
s2Member – Vulnerabilidad de Divulgación de Información Sensible (CVE-2024-8326)
El plugin s2Member para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta la 241114. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel Contribuidor o superior extraer datos sensibles, incluyendo información de usuarios y configuración de la base de datos, lo que puede llevar a la lectura, actualización…
-
Vulnerabilidad de Cross-Site Scripting en Sikshya LMS Plugin para WordPress
El plugin Learning Management System, eLearning, Course Builder, WordPress LMS Plugin – Sikshya LMS para WordPress presenta una vulnerabilidad de Cross-Site Scripting reflejado a través del parámetro ‘page’ en versiones hasta 0.0.21, lo que podría permitir a atacantes inyectar scripts web arbitrarios en páginas de manera maliciosa. La vulnerabilidad CVE-2024-12127 se debe a una sanitización…
-
Vulnerabilidad de Cross-Site Scripting en el plugin WP BASE Booking of Appointments, Services and Events <= 4.9.1
El plugin WP BASE Booking of Appointments, Services and Events para WordPress es vulnerable a un tipo de ataque de Cross-Site Scripting (XSS) conocido como Reflected XSS a través del parámetro ‘status’ en todas las versiones hasta, e incluyendo, la 4.9.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a…
-
Vulnerabilidad en Memberful <= 1.73.9 permite la exposición de información sensible a actores no autorizados
La vulnerabilidad en el plugin de WordPress Memberful hasta la versión 1.73.9 permite la exposición de información sensible a través de la función de búsqueda del core de WordPress. Esto posibilita que atacantes no autenticados puedan extraer datos sensibles de publicaciones restringidas a roles de nivel superior como miembros del sitio. La CVE identificada como…
-
User Role Editor <= 4.64.3 – CSRF a Escalada de Privilegios
El plugin User Role Editor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.64.3. Esto se debe a la falta o validación incorrecta de nonce en la función update_roles(). Esto permite a atacantes no autenticados agregar o eliminar roles para usuarios arbitrarios, incluyendo la escalada de privilegios…
-
Stop Registration Spam <= 1.23 – Vulnerabilidad de Cross-Site Request Forgery a Cross-Site Scripting
El plugin Stop Registration Spam para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.23. Esto se debe a la falta o incorrecta validación de nonce. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada siempre que puedan engañar a…