Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.2
La vulnerabilidad CVE-2024-1510 afecta al plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores, inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting se produce debido a una sanitización insuficiente de la entrada de usuario y el escape de salida en los atributos…
-
PJ News Ticker <= 6.8.10 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de shortcode
En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento PJ News Ticker para WordPress. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts maliciosos en páginas web, lo que puede llevar a ataques de Cross-Site Scripting almacenado. Esta vulnerabilidad afecta a todas las versiones hasta la 6.8.10 del complemento. El complemento PJ…
-
MasterStudy LMS Plugin de WordPress: Inyección de SQL no autenticada
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyección de SQL no autenticada. Esta vulnerabilidad podría ser aprovechada por atacantes no autenticados para extraer información sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin – for Online Courses and Education, en…
-
TNC PDF viewer <= 2.8.0 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de shortcode
En este reporte de seguridad se ha encontrado una vulnerabilidad en el complemento TNC PDF viewer para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos en páginas, lo que puede llevar a ataques de Cross-Site Scripting almacenada. El complemento TNC PDF viewer versiones 2.8.0 y anteriores…
-
Piraeus Bank WooCommerce Payment Gateway <= 1.6.5.1 – Inyección SQL no autenticada
El complemento del Piraeus Bank WooCommerce Payment Gateway para WordPress es vulnerable a una inyección SQL basada en el tiempo a través del parámetro ‘MerchantReference’ en todas las versiones hasta, e incluyendo, la 1.6.5.1 debido a un escapado insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta…
-
My Private Site <= 3.0.14 – Acceso inadecuado al control de información sensible a través de la REST API
El complemento My Private Site para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 3.0.14 a través de la REST API. Esto permite que atacantes no autenticados eludan la función de privacidad del sitio del complemento y vean contenido restringido de páginas y publicaciones. El complemento My…
-
Ocean Extra <= 2.2.4 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
En este reporte de seguridad hemos identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Ocean Extra para WordPress, que afecta a todas las versiones hasta la 2.2.4. Esta vulnerabilidad permite a atacantes autenticados, con niveles de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que…