Ultimas Noticias
-
Vulnerabilidad en Accessibility by AllAccessible <= 1.3.4 – Falta de Autorización para Actualización Arbitraria de Opciones por Usuarios Autenticados (Suscriptor+)
La vulnerabilidad Missing Authorization en el plugin Accessibility by AllAccessible para WordPress permite la modificación no autorizada de datos que puede resultar en una escalada de privilegios debido a la ausencia de una verificación de capacidad en la función ‘AllAccessible_save_settings’ en todas las versiones hasta, e incluyendo, la 1.3.4. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Email Address Obfuscation <= 1.0.1
El plugin Email Address Obfuscation para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘class’ en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Additional Custom Order Status for WooCommerce <= 1.6.0
La vulnerabilidad de Reflected Cross-Site Scripting afecta al plugin Additional Custom Order Status for WooCommerce en WordPress, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 1.6.0 y anteriores del plugin Additional Custom Order…
-
Vulnerabilidad de Cross-Site Scripting en WPBITS Addons For Elementor Page Builder
El plugin WPBITS Addons For Elementor Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.5.2 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de autor o…
-
Listdom – Plugin de WordPress de Directorio de Negocios y Anuncios Clasificados <= 3.7.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro shortcode
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress Listdom – Business Directory and Classified Ads Listings hasta la versión 3.7.0 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, pudiendo comprometer la seguridad de los usuarios con acceso de nivel Contributor y superior. El plugin Listdom – Business Directory and Classified…
-
Divulgación de Posts Autorizados (Contribuidor+) en LA-Studio Element Kit para Elementor <= 1.4.4
El plugin LA-Studio Element Kit for Elementor para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, 1.4.4 a través del shortcode ‘elementor-template’ debido a restricciones insuficientes sobre qué posts pueden ser incluidos. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos de posts…
-
Vulnerabilidad de Cross-Site Scripting en Plugins de WordPress con FancyBox JavaScript Library
Se ha identificado una vulnerabilidad de Cross-Site Scripting en varios plugins de WordPress que utilizan la librería JavaScript FancyBox (versiones 1.3.4 a 3.5.7), la cual permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. Los plugins de WordPress afectados por esta vulnerabilidad no realizan una sanitización…