Ultimas Noticias
-
Listdom – Plugin de WordPress de Directorio de Negocios y Anuncios Clasificados <= 3.7.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro shortcode
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress Listdom – Business Directory and Classified Ads Listings hasta la versión 3.7.0 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, pudiendo comprometer la seguridad de los usuarios con acceso de nivel Contributor y superior. El plugin Listdom – Business Directory and Classified…
-
Divulgación de Posts Autorizados (Contribuidor+) en LA-Studio Element Kit para Elementor <= 1.4.4
El plugin LA-Studio Element Kit for Elementor para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, 1.4.4 a través del shortcode ‘elementor-template’ debido a restricciones insuficientes sobre qué posts pueden ser incluidos. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos de posts…
-
Vulnerabilidad de Cross-Site Scripting en Plugins de WordPress con FancyBox JavaScript Library
Se ha identificado una vulnerabilidad de Cross-Site Scripting en varios plugins de WordPress que utilizan la librería JavaScript FancyBox (versiones 1.3.4 a 3.5.7), la cual permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. Los plugins de WordPress afectados por esta vulnerabilidad no realizan una sanitización…
-
Clásico Addons – WPBakery Page Builder <= 3.0 – Inclusión de Archivo PHP Local Limitada Autenticada (Colaborador+)
El complemento Classic Addons – WPBakery Page Builder para WordPress es vulnerable a Inclusión de Archivo PHP Local Limitada en todas las versiones hasta, e incluyendo, 3.0 a través del parámetro ‘style’. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, y permisos otorgados por un Administrador, incluir y ejecutar archivos arbitrarios…
-
Vulnerabilidad en TI WooCommerce Wishlist <= 2.9.1 – Falta de autorización para el acceso no autenticado al asistente de configuración del plugin
La vulnerabilidad en el plugin TI WooCommerce Wishlist para WordPress se debe a la falta de verificación de capacidades en la función ‘asistente’ en todas las versiones hasta, e incluyendo, la 2.9.1. Esto permite que atacantes no autenticados creen nuevas páginas, modifiquen la configuración del plugin y realicen actualizaciones de opciones limitadas. Los usuarios afectados…
-
Vulnerabilidad de Cross-Site Scripting en WP eCards <= 1.3.904
El plugin WP eCards para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ecard’ en todas las versiones hasta la 1.3.904. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…
-
B Testimonial – Plugin de testimonios para WP <= 1.2.2 – Cross-Site Scripting almacenado autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin B Testimonial – testimonial para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin B Testimonial – testimonial para WP hasta la versión 1.2.2 es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘b_testimonial’ del plugin debido a una sanitización insuficiente…