Ultimas Noticias
-
Galería de fotos, imágenes, slider en Rbs Image Gallery <= 3.2.19 – Cross-Site Scripting almacenado autenticado (Contributor+)
El plugin de WordPress Galería de Fotos, Imágenes, Slider en Rbs Image Gallery es vulnerable a Cross-Site Scripting almacenado a través del campo de título de la galería en todas las versiones hasta, e incluyendo, la 3.2.19 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin AMP for WP – Accelerated Mobile Pages
El plugin AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.0.96.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
VikRentCar Car Rental Management System <= 1.3.1 – Cross-Site Request Forgery
El plugin VikRentCar Car Rental Management System para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.3.1. Esto se debe a la falta o validación incorrecta de nonce en la tarea cancelrequest. Esto permite que atacantes no autenticados cancelen solicitudes a través de una solicitud falsificada siempre que…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP eMember <= 10.3.8 a través de $_SERVER['REQUEST_URI']
La vulnerabilidad CVE-2024-5744 en el plugin WP eMember para WordPress permite a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting a través de $_SERVER[‘REQUEST_URI’]. Esto podría permitir la inyección de scripts web arbitrarios en páginas y ejecutarlos si pueden engañar a un usuario para realizar una acción como hacer clic en un enlace. Cabe…
-
Vulnerabilidad de XSS almacenado en WP Booking Calendar <= 10.2.1 a través de bookingform Shortcode
La vulnerabilidad CVE-2024-6930 afecta al plugin de WordPress WP Booking Calendar, permitiendo a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas del sitio. El plugin WP Booking Calendar hasta la versión 10.2.1 es vulnerable a XSS almacenado a través del atributo ‘type’ dentro del shortcode bookingform del plugin. Esto…
-
The Events Calendar <= 6.5.2 – Cross-Site Scripting sin Autenticación
El plugin The Events Calendar para WordPress es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, la 6.5.2 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una…
-
Optimizar Texto ALT de Imágenes y nombres para SEO utilizando IA <= 3.1.1 – Divulgación completa de la ruta sin autenticación
El plugin Optimize Images ALT Text (alt tag) & names for SEO utilizando IA para WordPress es vulnerable a la divulgación completa de la ruta en todas las versiones hasta, e incluyendo, 3.1.1. Esto se debe a que el plugin utiliza cocur y no previene el acceso directo al archivo generate-default.php. Esto permite a atacantes…