Ultimas Noticias
-
Vulnerabilidad de autorización faltante en Breakdance <= 1.7.2
El plugin Breakdance para WordPress es vulnerable a un acceso no autorizado de datos en todas las versiones hasta, e incluyendo, 1.7.2. Esto permite que atacantes autenticados, con acceso de nivel de Contribuidor y superior, exporten envíos de formularios. La vulnerabilidad identificada en el plugin Breakdance, con el ID CVE-2024-5331, es causada por un control…
-
Vulnerabilidad de Cross-Site Scripting en Blog2Social: Social Media Auto Post & Scheduler <= 7.5.4
El plugin Blog2Social: Social Media Auto Post & Scheduler para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) a través de la carga de archivos 3gp2 en todas las versiones hasta, e incluyendo, la 7.5.4. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida, lo que permite a atacantes…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Breakdance <= 1.7.2
El plugin Breakdance para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro breakdance_css_file_paths_cache en todas las versiones hasta, e incluyendo, la 1.7.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, inyectar scripts web arbitrarios en páginas que…
-
Element Pack – Addon for Elementor Page Builder WordPress Plugin <= 7.9.0 – Cross-Site Scripting a través de URL de enlace del contenedor (Contribuidor+) autenticado
El plugin Element Pack – Addon for Elementor Page Builder WordPress Plugin para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL de enlace del contenedor en todas las versiones hasta, e incluyendo, la 7.9.0 debido a la sanitización insuficiente de la entrada y escapa de la salida en atributos proporcionados por…
-
FundEngine – Plataforma de Donaciones y Crowdfunding <= 1.7.0 – Escalada de Privilegios Autenticados (Suscriptor+)
La vulnerabilidad CVE-2024-6698 se encuentra en el plugin FundEngine para WordPress en todas las versiones hasta, e incluyendo, la 1.7.0. Esta vulnerabilidad se debe a que el plugin no verifica correctamente los metadatos de usuario actualizados a través de la función update_user_meta. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar…
-
AdFoxly – Falta de Autorización para Actualización de Estado de Anuncio sin Autenticar
El plugin AdFoxly – Ad Manager, AdSense Ads & Ads.txt para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función adfoxly_ad_status() en todas las versiones hasta, e incluyendo, la 1.8.5. Esto permite que atacantes no autenticados activen y desactiven anuncios. La falta…
-
Vulnerabilidad de Solicitudes Falsificadas del Lado del Servidor (SSRF) en Remote Content Shortcode <= 1.5
El plugin Remote Content Shortcode para WordPress es vulnerable a Solicitudes Falsificadas del Lado del Servidor (SSRF) en todas las versiones hasta, e incluyendo, la 1.5 a través del shortcode remote_content. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superior, realicen solicitudes web a ubicaciones arbitrarias desde la aplicación web y pueden…