Ultimas Noticias
-
Contact Form Builder <= 4.10.4 – Cross-Site Scripting a través de shortcode livesite-pay (Contribuidores+ Autenticados)
El plugin Contact Form Builder by vcita para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode livesite-pay en todas las versiones hasta, e incluyendo, la 4.10.4 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins <= 2.0.58 – Exposición de Información Sensible
La vulnerabilidad de Exposición de Información Sensible en el plugin Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins para WordPress permite a atacantes no autenticados extraer datos sensibles, como títulos de posts en estado de borrador. La vulnerabilidad se encuentra en todas las versiones hasta la 2.0.58 del plugin y puede…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor <= 3.3.9
La vulnerabilidad CVE-2024-10178 encontrada en el plugin Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor permite a atacantes autenticados inyectar scripts maliciosos en páginas creadas con el widget de Countdown, poniendo en riesgo la seguridad de los sitios web que lo utilizan. La falta de sanitización de entrada y escape de salida en…
-
Vulnerabilidad en Accessibility by AllAccessible <= 1.3.4 – Falta de Autorización para Actualización Arbitraria de Opciones por Usuarios Autenticados (Suscriptor+)
La vulnerabilidad Missing Authorization en el plugin Accessibility by AllAccessible para WordPress permite la modificación no autorizada de datos que puede resultar en una escalada de privilegios debido a la ausencia de una verificación de capacidad en la función ‘AllAccessible_save_settings’ en todas las versiones hasta, e incluyendo, la 1.3.4. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Email Address Obfuscation <= 1.0.1
El plugin Email Address Obfuscation para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘class’ en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Additional Custom Order Status for WooCommerce <= 1.6.0
La vulnerabilidad de Reflected Cross-Site Scripting afecta al plugin Additional Custom Order Status for WooCommerce en WordPress, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 1.6.0 y anteriores del plugin Additional Custom Order…
-
Vulnerabilidad de Cross-Site Scripting en WPBITS Addons For Elementor Page Builder
El plugin WPBITS Addons For Elementor Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.5.2 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de autor o…