Ultimas Noticias
-
Beaver Builder – WordPress Page Builder <= 2.7.4.2 – Cross-Site Scripting (XSS) Almacenado para Usuarios Autenticados (Contributor+)
El plugin de Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro de URL de imagen en todas las versiones hasta, e incluyendo, 2.7.4.2 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor…
-
Constructor de Formularios de Contacto con arrastrar y soltar para WordPress – Kali Forms <= 2.3.41 – Falta de Autorización para la Desactivación Arbitraria de Plugins
La vulnerabilidad identificada en el plugin para WordPress ‘Contact Form builder with drag & drop for WordPress – Kali Forms’ hasta la versión 2.3.41 permite a atacantes autenticados, con acceso de suscriptor o superior, desactivar cualquier plugin activo de forma no autorizada. La función await_plugin_deactivation carece de una verificación de capacidades, lo que permite a…
-
Constructor de formularios de contacto con arrastrar y soltar para WordPress – Kali Forms <= 2.3.41 – Autorización faltante
El complemento Constructor de formularios de contacto con arrastrar y soltar para WordPress – Kali Forms es vulnerable a accesos no autorizados y modificaciones de datos a través de la API debido a una verificación inconsistente de capacidades en varios endpoints REST en todas las versiones hasta, e incluyendo, la 2.3.41. Esto permite que atacantes…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin wpDataTables de WordPress
La vulnerabilidad CVE-2024-0591, que afecta al plugin wpDataTables de WordPress en versiones hasta la 3.4.2.2, permite a atacantes no autenticados realizar ataques de Cross-Site Scripting (XSS) si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting en el plugin wpDataTables se debe a…
-
Simple Job Board <= 2.10.8 – Falta de Autorización para Divulgación de Información a No Autenticados
La vulnerabilidad identificada como CVE-2024-0593 en el plugin Simple Job Board para WordPress permite a atacantes no autenticados acceder a datos de forma no autorizada debido a una insuficiente verificación de autorización en la función fetch_quick_job(). Esto posibilita a los atacantes obtener publicaciones arbitrarias, que pueden estar protegidas con contraseña o ser privadas y contener…
-
Vulnerabilidad de Cross-Site Scripting en 3D FlipBook – PDF Flipbook WordPress <= 1.15.3
El plugin 3D FlipBook – PDF Flipbook para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de marcadores del plugin en todas las versiones hasta, e incluyendo, la 1.15.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes autenticados con permisos de contribuidor…
-
Vulnerabilidad en Tutor LMS <= 2.6.0 – Falta de Autorización
El plugin Tutor LMS – solución de eLearning y cursos en línea para WordPress es vulnerable a un acceso no autorizado a contenido de preguntas y respuestas restringidas debido a la falta de verificación de capacidades al interactuar con preguntas en todas las versiones hasta, e incluyendo, la 2.6.0. Esto permite a atacantes autenticados, con…