Ultimas Noticias
-
coreActivity <= 1.8 – Cross-Site Scripting (XSS) almacenado sin autenticación
En este artículo se abordará la vulnerabilidad de Cross-Site Scripting (XSS) almacenado sin autenticación en el plugin coreActivity, utilizado en WordPress. Esta vulnerabilidad puede permitir a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a dichas páginas inyectadas. El plugin coreActivity para WordPress es vulnerable…
-
(Simply) Guest Author Name <= 4.34 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin (Simply) Guest Author Name para WordPress. Esta vulnerabilidad, identificada como CVE-2024-0254, permite la ejecución de scripts maliciosos en páginas web, comprometiendo la seguridad de tu sitio. El plugin (Simply) Guest Author Name para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenada debido a…
-
Meks Smart Social Widget <= 1.6.3 – Cross-Site Scripting almacenado autenticado (Admin+)
El plugin Meks Smart Social Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Meks Smart Social Widget en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y a una escapada insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de…
-
InstaWP Connect <= 0.1.0.9 – Falta de autorización para la divulgación de información sensible
El complemento InstaWP Connect – 1-click WP Staging & Migration para WordPress es vulnerable a un acceso no autorizado a los datos debido a la falta de una verificación de capacidad en todas las versiones hasta, e incluyendo, la 0.1.0.9. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, extraer información sensible.…
-
WordPress Simple Shopping Cart <= 4.7.1 – Cross-Site Scripting Almacenado Autenticado (Administrador+)
En este reporte de seguridad abordaremos una vulnerabilidad de Cross-Site Scripting almacenado en el plugin WordPress Simple Shopping Cart. Esta vulnerabilidad puede ser explotada por atacantes autenticados con permisos de administrador o superiores, lo que les permite inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda a una página…
-
Exclusive Addons para Elementor <= 2.6.8 – Cross-Site Scripting almacenado autenticado (Contributor+)
El plugin Exclusive Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL ‘Link To’ en los carruseles en todas las versiones hasta, e incluyendo, 2.6.8 debido a una insuficiente sanitización de la entrada y escapado de salida en los atributos proporcionados por los usuarios. Esto permite a atacantes…
-
Vulnerabilidad de Traversing de Directorio en Plugin Backuply para WordPress
En este artículo vamos a discutir una vulnerabilidad de traversing de directorio en el plugin Backuply para WordPress, que puede permitir a atacantes con privilegios de administrador o superiores leer el contenido de archivos arbitrarios en el servidor. A continuación, analizaremos los detalles de esta vulnerabilidad y proporcionaremos soluciones para subsanar el problema. El plugin…