Ultimas Noticias
-
Email Reminders <= 2.0.4 – Cross-Site Scripting mediante el parámetro id
El complemento Email Reminders para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 2.0.4 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad XSS Reflejada en Quran multilenguaje Text & Audio <= 2.3.21 a través de los parámetros sourate y lang
El plugin Quran multilenguaje Text & Audio para WordPress es vulnerable a XSS reflejado a través de los parámetros ‘sourate’ y ‘lang’ en todas las versiones hasta, e incluyendo, la 2.3.21 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que…
-
Calculadora de Hipotecas de Property Hive <= 1.0.6 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Parámetro de Precio
El plugin Property Hive Mortgage Calculator para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘price’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios…
-
Vulnerabilidad de Traversal de Directorios en el Mejor Plugin de Galería de WordPress – FooGallery <= 2.4.16 – Autenticado (Contribuidor+) Traversal de Directorios
El plugin Best WordPress Gallery – FooGallery para WordPress es vulnerable a la Traversal de Directorios en todas las versiones hasta, e incluyendo, la 2.4.26. Esto hace posible que atacantes autenticados, con nivel de contribuidor o superior, puedan leer el contenido de carpetas arbitrarias en el servidor, lo que puede contener información sensible como la…
-
Vulnerabilidad en WPForms 1.8.4 – 1.9.2.1 – Falta de Autorización para Reembolsos de Pagos y Cancelación de Suscripciones
La vulnerabilidad CVE-2024-11205 encontrada en el plugin WPForms para WordPress permite a usuarios autenticados con nivel Subscriber o superior realizar reembolsos de pagos y cancelar suscripciones sin la autorización adecuada. El plugin WPForms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función…
-
Vulnerabilidad de Inclusión de Archivos Locales en WP Umbrella: Update Backup Restore & Monitoring <= 2.17.0
La vulnerabilidad de inclusión de archivos locales en el plugin WP Umbrella: Update Backup Restore & Monitoring para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. La versión 2.17.0 y anteriores de este plugin son vulnerables a la inclusión de archivos locales a través del parámetro ‘filename’ de la acción…
-
FileOrganizer <= 1.1.4 – Inclusión Local de Archivos JavaScript Autenticada (Administrador+)
El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 1.1.4 a través del parámetro ‘default_lang’. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite…