Ultimas Noticias
-
Vulnerabilidad CSRF en Simple Redirection <= 1.5 permite redireccionar a sitios arbitrarios
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Simple Redirection para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.5. Esto se debe a la falta de validación de nonce incorrecta en la función settings_page(). Esto permite que atacantes no autenticados actualicen la configuración del plugin y redirijan a todos los…
-
AnyWhere Elementor <= 1.2.11 – Divulgación de Posts Autenticados (Contribuidor+)
El plugin AnyWhere Elementor para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.2.11 a través del shortcode ‘INSERT_ELEMENTOR’ debido a restricciones insuficientes sobre qué posts se pueden incluir. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos de posts privados o…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en NewsMunch <= 1.0.35
La vulnerabilidad CVE-2024-10848 en el tema de WordPress NewsMunch permite a atacantes autenticados con acceso de Contribuidor o superior inyectar scripts web maliciosos que se ejecutarán cuando un usuario accede a una página infectada. La vulnerabilidad de Cross-Site Scripting (XSS) en el tema NewsMunch es causada por una inadecuada sanitización de la entrada y escape…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en WIP WooCarousel Lite <= 1.1.6 para WordPress
El plugin WIP WooCarousel Lite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wip_woocarousel_products_carousel’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor…
-
Contact Form Builder <= 4.10.4 – Cross-Site Scripting a través de shortcode livesite-pay (Contribuidores+ Autenticados)
El plugin Contact Form Builder by vcita para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode livesite-pay en todas las versiones hasta, e incluyendo, la 4.10.4 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins <= 2.0.58 – Exposición de Información Sensible
La vulnerabilidad de Exposición de Información Sensible en el plugin Related Posts, Inline Related Posts, Contextual Related Posts, Related Content By PickPlugins para WordPress permite a atacantes no autenticados extraer datos sensibles, como títulos de posts en estado de borrador. La vulnerabilidad se encuentra en todas las versiones hasta la 2.0.58 del plugin y puede…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor <= 3.3.9
La vulnerabilidad CVE-2024-10178 encontrada en el plugin Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor permite a atacantes autenticados inyectar scripts maliciosos en páginas creadas con el widget de Countdown, poniendo en riesgo la seguridad de los sitios web que lo utilizan. La falta de sanitización de entrada y escape de salida en…