Ultimas Noticias
-
Vulnerabilidad en plugin Duplica <= 0.6 – Falta autorización a usuarios/entradas duplicadas
El plugin Duplica – Duplicar entradas, páginas, entradas personalizadas o usuarios para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en las funciones duplicate_user y duplicate_post en todas las versiones hasta, e incluyendo, la 0.6. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor…
-
ElementsKit Elementor addons <= 3.2.0 – Exposición de información no autenticada a través de la función ekit_widgetarea_content
El plugin ElementsKit Elementor addons para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 3.2.0 debido a la falta de comprobaciones de capacidades en la función ekit_widgetarea_content. Esto hace posible que atacantes no autenticados puedan ver cualquier elemento creado en Elementor, como entradas, páginas y plantillas, incluidos…
-
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) <= 5.6.11 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
El plugin Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro ‘onclick_event’ en todas las versiones hasta, e incluyendo, 5.6.11 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Element Pack Elementor Addons <= 5.6.5
El plugin Element Pack Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘social-link-title’ en todas las versiones hasta la 5.6.5 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con acceso a nivel de Contribuidor y superior, inyectar scripts web arbitrarios en…
-
Brizy – Page Builder <= 2.4.44 – Subida de Archivos Arbitrarios (Contribuidor+)
El plugin Brizy – Page Builder para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de extensiones de archivos en la función validateImageContent llamada a través de storeImages en todas las versiones hasta la 2.4.43. Esto permite a los atacantes autenticados, con acceso de contribuidor o superior, subir…
-
Vulnerabilidad de Cross-Site Scripting en SVG Support <= 2.5.5
El plugin SVG Support para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga de SVG en todas las versiones hasta, e incluyendo, la 2.5.5 debido a una insuficiente sanitización de la entrada y escape de la salida, incluso cuando la función ‘Sanitize SVG while uploading’ está habilitada. Esto permite…
-
Booking Ultra Pro <= 1.1.13 – Falta de Autorización para Actualizaciones de Configuración del Plugin (Suscriptor+)
El plugin Booking Ultra Pro Appointments Booking Calendar para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en múltiples funciones en todas las versiones hasta, e incluyendo, la 1.1.13. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, modificar y eliminar múltiples…