Ultimas Noticias
-
Integración de CRM Perks – WordPress HelpDesk – Zendesk, Freshdesk, HelpScout <= 1.1.6 – Cross-Site Scripting almacenado autenticado (Contribuidor+)
El plugin CRM Perks – WordPress HelpDesk Integration – Zendesk, Freshdesk, HelpScout para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘crm-perks-tickets’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite…
-
Tabs Maker <= 1.0 – Cross-Site Scripting Almacenado de Usuario Autenticado (Contribuidor+)
El plugin Tabs Maker para WordPress es vulnerable a Cross-Site Scripting Almacenado en versiones hasta, e incluyendo, la 1.0 debido a una sanitización insuficiente de la entrada y escape de salida en las descripciones de las pestañas. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superiores, inyecten scripts web arbitrarios en páginas…
-
Vulnerabilidad de carga de archivos arbitrarios en Crafthemes Demo Import <= 3.3
El plugin Crafthemes Demo Import para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función ‘process_uploaded_files’ en todas las versiones hasta, e incluyendo, la 3.3. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, cargar archivos arbitrarios en el…
-
Vulnerabilidad en el plugin Get Post Content Shortcode <= 0.4 – Referencia Directa a Objetos Insegura para la Divulgación de Información Sensible a Usuarios Autenticados (Contributor+)
El plugin Get Post Content Shortcode para WordPress es vulnerable a una Referencia Directa a Objeto Insegura en todas las versiones hasta, e incluyendo, la 0.4 a través del shortcode ‘post-content’ debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con nivel de acceso de Contribuidor…
-
Visualmodo Elements <= 1.0.2 – Cross-Site Scripting a través de la carga de archivos SVG autenticados (Autor+)
El plugin Visualmodo Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG mediante la API REST en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting en WooCommerce Cart Count Shortcode <= 1.0.4
La vulnerabilidad CVE-2024-12517 afecta al plugin WooCommerce Cart Count Shortcode para WordPress, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas del sitio comprometido. El plugin WooCommerce Cart Count Shortcode hasta la versión 1.0.4 es propenso a Cross-Site Scripting almacenado debido…
-
My IDX Home Search <= 2.0.1 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin My IDX Home Search para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘homeasap-idx-search’ del plugin en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…