Ultimas Noticias
-
SMS for WooCommerce <= 2.8.1 – Cross-Site Request Forgery to Reflected Cross-Site Scripting
El plugin SMS for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.8.1. Esta vulnerabilidad se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados inyectar scripts web maliciosos a través de una solicitud falsificada si logran engañar a…
-
Vulnerabilidad en WP All Import Pro <= 4.9.3 – SSRF autenticado (Administrador+) a través de importación de archivos
La vulnerabilidad de Solicitudes Falsificadas del Servidor en el lado del servidor (SSRF) en el complemento WP All Import Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 4.9.3 debido a la falta de protección SSRF en la función pmxi_curl_download. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior,…
-
Vulnerabilidad de Cross-Site Scripting en PowerPack Lite for Beaver Builder <= 1.3.0.5
El plugin PowerPack Lite for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro navigate en todas las versiones hasta, e incluyendo, la 1.3.0.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el Plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals <= 1.2.2
El plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘portfolio-pro’ en todas las versiones hasta, e incluyendo, la 1.2.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con…
-
TPG Get Posts <= 3.6.5 – Cross-Site Scripting almacenado autenticado (Colaborador+)
El plugin TPG Get Posts para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tpg_get_posts’ en todas las versiones hasta, e incluyendo, la 3.6.5 debido a una insuficiente sanitización de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador…
-
Contadores Animados <= 2.0 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin de Contadores Animados para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘animatedcounter’ en todas las versiones hasta la 2.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente o…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Slope Widgets <= 4.2.11
La vulnerabilidad CVE-2024-11902 en el plugin de WordPress Slope Widgets permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts maliciosos en páginas web que se ejecutarán cuando un usuario acceda a esa página. El plugin Slope Widgets para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘slope-reservations’ en todas…