Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en aThemes Starter Sites <= 1.0.53 mediante carga de archivos SVG
El plugin aThemes Starter Sites para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.53 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior,…
-
Campaign Monitor for WordPress <= 2.8.15 – Divulgación de Ruta Completa no Autenticada
El plugin Campaign Monitor for WordPress para WordPress es vulnerable a una Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 2.8.15. Esto se debe a que el plugin no restringe adecuadamente el acceso directo a /forms/views/admin/create.php y display_errors está habilitado. Esto hace posible que atacantes no autenticados puedan recuperar la ruta…
-
Vulnerabilidad en WooCommerce Product Table Lite <= 3.5.1: Falta de Autorización para Cross-Site Scripting Almacenado (Subscriber+)
El plugin WooCommerce Product Table Lite para WordPress es vulnerable a la modificación no autorizada de títulos de publicaciones debido a la falta de una comprobación de capacidad en la función wcpt_presets__duplicate_preset_to_table en todas las versiones hasta, e incluyendo, la 3.5.1. Esto permite a atacantes autenticados con acceso de suscriptor y superior cambiar títulos de…
-
Media.net Ads Manager <= 2.10.13 – Falta de Autorización para Carga de Archivos Arbitrarios por Usuarios Autenticados (Suscripción+)
El plugin Media.net Ads Manager para WordPress es vulnerable a la carga arbitraria de archivos debido a la falta de validación de tipos de archivos y la falta de comprobación de capacidades en la función ‘sendMail’ en todas las versiones hasta, e incluyendo, la 2.10.13. Esto permite a atacantes autenticados, con permisos de nivel suscriptor…
-
Vulnerabilidad de Cross-Site Scripting en Master Currency WP <= 1.1.61
El plugin Master Currency WP para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode currencyconverterform en todas las versiones hasta, e incluyendo, la 1.1.61 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Missing Authorization en el complemento de Tutor LMS – Migration Tool
La vulnerabilidad CVE-2024-1804 conocida como Missing Authorization afecta al complemento de Tutor LMS – Migration Tool para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel suscriptor o superior, importar cursos de forma no autorizada. El complemento de Tutor LMS – Migration Tool en versiones hasta la 2.2.0 carece de una verificación de…
-
IgnitionDeck Crowdfunding Platform <= 1.9.8 – Falta de Autorización
El plugin de plataforma de crowdfunding IgnitionDeck para WordPress es vulnerable a la Falta de Autorización en versiones hasta, e incluyendo, 1.9.8. Esto se debe a la falta de verificaciones de capacidades en varias funciones llamadas a través de acciones AJAX en el archivo ~/classes/class-idf-wizard.php. Esto hace posible que atacantes autenticados, con acceso de suscriptor…