Ultimas Noticias
-
Grid Plus – Ejecución de Código Corto Arbitrario no Autenticado a través de grid_plus_load_by_category
El plugin Grid Plus – Unlimited grid layout para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios a través de la acción AJAX grid_plus_load_by_category en todas las versiones hasta, e incluyendo, la 1.3.5. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor…
-
Cognito Forms <= 2.0.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del parámetro id
Se ha descubierto una vulnerabilidad en el plugin Cognito Forms para WordPress que permite a atacantes autenticados con nivel de acceso de ‘Contribuidor’ o superior, inyectar scripts web arbitrarios en páginas específicas. La vulnerabilidad viene dada por la insuficiente sanitización de la entrada y escape de la salida del parámetro ‘id’ en todas las versiones…
-
Ninja Forms – Vulnerabilidad de Cross-Site Scripting almacenado en versiones <= 3.8.19
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Ninja Forms para WordPress hasta la versión 3.8.19 permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La versión del plugin Ninja Forms hasta la 3.8.19 es vulnerable a esta forma de ataque…
-
dejure.org Vernetzungsfunktion <= 1.97.5 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin dejure.org Vernetzungsfunktion para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.97.5. Esto se debe a la falta de validación de nonce incorrecta en la función djo_einstellungen_menue(). Esto permite a atacantes no autenticados actualizar configuraciones e inyectar scripts web maliciosos a través de una solicitud falsificada,…
-
Vulnerabilidad de Cross-Site Scripting en WP Service Payment Form With Authorize.net <= 2.6.3
El plugin WP Service Payment Form With Authorize.net para WordPress es vulnerable a un ataque de Cross-Site Scripting reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 2.6.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en…
-
Vulnerabilidad CSRF en HQ Rental Software <= 1.5.29 permite la actualización arbitraria de opciones
La vulnerabilidad de Solicitud Falsificada entre Sitios (CSRF) en el plugin HQ Rental Software para WordPress afecta a todas las versiones hasta la 1.5.29. Esta vulnerabilidad se debe a una validación de nonce incorrecta o ausente en la función displaySettingsPage(). Esto permite a atacantes no autenticados actualizar opciones arbitrarias que pueden ser utilizadas para la…
-
Vulnerabilidad de Cross-Site Scripting en Surbma | SalesAutopilot Shortcode <= 2.0
El plugin Surbma | SalesAutopilot Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sa-form’ en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…