Ultimas Noticias
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Pipes <= 1.4.1 mediante el parámetro x1
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin WP Pipes para WordPress afecta a todas las versiones hasta la 1.4.1, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad se debe a una…
-
WPC Order Notes for WooCommerce <= 1.5.2 – CSRF a XSS Reflejado
El plugin WPC Order Notes for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.5.2. Esto se debe a la validación de nonce faltante o incorrecta en la función ajax_update_order_note(). Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una…
-
Vulnerabilidad de Reflected Cross-Site Scripting en turboSMTP <= 4.6 a través del parámetro 'page'
El plugin turboSMTP para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 4.6 debido a una insuficiente sanitización de entradas y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a…
-
LearnPress – WordPress LMS Plugin <= 4.2.7.3 – Exposición de Información Sensible del Material del Curso a través de la API REST
El plugin LearnPress – WordPress LMS Plugin para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 4.2.7.3 a través de class-lp-rest-material-controller.php. Esto permite a atacantes no autenticados extraer material de curso pagado potencialmente sensible. La falta de control de acceso adecuado en el plugin LearnPress –…
-
Vulnerabilidad en Simple Restrict <= 1.2.7 permite la exposición de Información Sensible a Actores No Autorizados
La vulnerabilidad en el plugin Simple Restrict para WordPress pone en riesgo la información sensible al permitir que actores no autorizados puedan acceder a datos restringidos a roles de nivel superior, como administrador. El plugin Simple Restrict para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 1.2.7…
-
Vulnerabilidad en Active Products Tables for WooCommerce permite ejecución de código arbitrario a través de un shortcode no autenticado
La vulnerabilidad CVE-2024-10959, catalogada como ‘Improper Control of Generation of Code (‘Code Injection’)’, afecta al plugin The Active Products Tables for WooCommerce. Use constructor to create tables en su versión 1.0.6.5 y anteriores. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes arbitrarios a través de la acción AJAX woot_get_smth. La vulnerabilidad radica en la…
-
iChart – Vulnerabilidad de Cross-Site Scripting almacenado (XSS) en versión <= 2.1.0 para usuarios autenticados (Contributor+)
El plugin iChart – Easy Charts and Graphs para WordPress es vulnerable a un Cross-Site Scripting almacenado a través del parámetro ‘width’ en todas las versiones hasta, e incluyendo, la 2.1.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y…