Ultimas Noticias
-
Vulnerabilidad de Reflejo de Cross-Site Scripting en Website Toolbox Community <= 2.0.1 a través de websitetoolbox_username
El plugin Website Toolbox Community para WordPress es vulnerable a Reflejo de Cross-Site Scripting a través del parámetro ‘websitetoolbox_username’ en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
Ultimate Endpoints With Rest Api <= 2.2.2 – Cross-Site Scripting Reflejado
El plugin Ultimate Endpoints With Rest Api para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 2.2.2 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Horizontal scroll image slideshow <= 10.1 para usuarios autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-11442 afecta al plugin de WordPress Horizontal scroll image slideshow, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Horizontal scroll image slideshow para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘horizontal-scroll-image-slideshow’ en todas las versiones hasta, e incluyendo, la 10.1 debido a una insuficiente sanitización…
-
Fallo de Autenticación en Sign In With Google <= 1.8.0 – Bypass de Autenticación en authenticate_user
El plugin Sign In With Google para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 1.8.0. Esto se debe a que la función de usuario ‘authenticate_user’ no implementa suficientes comprobaciones de valores nulos al establecer el token de acceso y la información del usuario. Esto hace posible…
-
SQL Chart Builder <= 2.3.6 – Inyección de SQL Autenticada (Contribuidor+)
El plugin SQL Chart Builder para WordPress es vulnerable a Inyección de SQL a través del argumento ‘arg1’ del shortcode ‘gvn_schart_2’ en todas las versiones hasta, e incluyendo, la 2.3.6 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite…
-
Vulnerabilidad en Custom Skins Contact Form 7 <= 1.0 – Falta de Autorización para Modificación Arbitraria de Contenidos y Creación de Temas
La vulnerabilidad de Missing Authorization en el plugin Custom Skins Contact Form 7 para WordPress permite la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘cf7cs_action_callback’ en todas las versiones hasta, e incluyendo, la 1.0. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior,…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Gutenberg Blocks and Page Layouts – Attire Blocks <= 1.9.5
La vulnerabilidad CVE-2024-11914 en el plugin Gutenberg Blocks and Page Layouts – Attire Blocks para WordPress permite a atacantes autenticados (nivel Contributor o superior) llevar a cabo ataques de Cross-Site Scripting almacenado, lo que puede comprometer la seguridad de un sitio web. La vulnerabilidad radica en la falta de sanitización de entradas y escape de…