Ultimas Noticias
-
Exclusive Addons for Elementor <= 2.6.8 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de Link Anything
El complemento Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenada a través de la funcionalidad Link Anything en todas las versiones hasta la 2.6.8 debido a una sanitización insuficiente de la entrada y un escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor o…
-
Formidable Forms <= 6.7.2 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El complemento Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 6.7.2. Esto se debe a la falta de validación de nonce en la función update_settings. Esto permite a atacantes sin autenticar cambiar…
-
Form-Maker (twb_form-maker) <= 1.15.21 – Cross-Site Request Forgery para Ejecución Limitada de Código a través de Execute
En este artículo, describiremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Form Maker de WordPress. Explicaremos cómo un atacante puede aprovechar esta vulnerabilidad para ejecutar métodos arbitrarios en la clase ‘BoosterController’, y daremos soluciones para mitigar este problema de seguridad. El plugin Form Maker de WordPress, desarrollado por 10Web, es un creador…
-
PDF Poster – Plugin PDF Embedder para WordPress <= 2.1.17 – Cross-Site Scripting Reflejada
El plugin PDF Poster – PDF Embedder para WordPress es vulnerable a Cross-Site Scripting Reflejada en versiones hasta, e incluyendo, la 2.1.17 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar con éxito a…
-
Vulnerabilidad de Cross-Site Scripting almacenada en WP RSS Aggregator <= 4.23.4 a través de la fuente de alimentación RSS
En el plugin de WordPress WP RSS Aggregator, existe una vulnerabilidad de Cross-Site Scripting almacenada que permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Esta vulnerabilidad afecta a las versiones hasta la 4.23.4 y se…
-
10Web AI Assistant – Falta de Autorización para la Instalación Arbitraria de Plugins
El plugin 10Web AI Assistant – Asistente de escritura de contenido basado en IA para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la acción AJAX install_plugin en todas las versiones hasta, e incluyendo, la 1.0.18. Esto permite a atacantes autenticados, con acceso…
-
Elementor Addons by Livemesh <= 8.3.1 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Elementor Addons by Livemesh para WordPress es vulnerable a un Cross-Site Scripting Almacenado a través de los parámetros de URL del widget en todas las versiones hasta, e incluyendo, la 8.3.1 debido a la insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados con acceso de colaborador o…