Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) <= 5.7.1
La vulnerabilidad CVE-2024-4643, denominada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin Element Pack Elementor Addons para WordPress en versiones hasta la 5.7.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha…
-
Spectra Pro <= 1.1.4 – Cross-Site Scripting Almacenado por Usuarios Autenticados (Contribuidor+) a través de IDs de Bloques
El complemento Spectra Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de IDs de bloques en todas las versiones hasta, e incluyendo, la 1.1.4 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y…
-
Plugin de menú de WordPress — Superfly Responsive Menu <= 5.0.29 – Falsificación de petición en sitios cruzados para eliminación de archivos arbitrarios
El plugin de menú de WordPress — Superfly Responsive Menu es vulnerable a Falsificación de Petición en Sitios Cruzados (CSRF) en todas las versiones hasta, e incluyendo, la 5.0.29. Esta vulnerabilidad se debe a una validación de nonce faltante o incorrecta en la función ajax_handle_delete_icons(). Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios…
-
Forminator <= 1.29.1 – Exposición de Información Sensible de Clave API de HubSpot Developer
El plugin Forminator para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.29.1 a través de class-forminator-addon-hubspot-wp-api.php. Esto hace posible que atacantes no autenticados extraigan la clave API del desarrollador de integración de HubSpot y realicen cambios no autorizados en la integración de HubSpot del plugin…
-
News Element Elementor Blog Magazine <= 1.0.5 – Inclusión de Archivos Locales sin Autenticación
El plugin News Element Elementor Blog Magazine para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.0.5. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. La falta de…
-
Ebook Store <= 5.8001 – Divulgación de Ruta Completa sin Autenticación
El plugin de Ebook Store para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 5.8001. Esto se debe a que el plugin utiliza fpdi-protection y no evita el acceso directo a archivos de prueba que tienen display_errors establecido en true. Esto permite a atacantes no autenticados…
-
Vulnerabilidad de Escalada de Privilegios en PowerPack Pro para Elementor <= 2.10.14
La vulnerabilidad CVE-2024-39634 encontrada en el plugin PowerPack Pro para Elementor en versiones hasta 2.10.14 permite a atacantes con privilegios de Contributor o superiores escalar sus permisos de manera no autorizada. El problema radica en la asignación incorrecta de privilegios dentro del plugin, el cual no restringe adecuadamente quién puede establecer roles en el formulario…