Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Zenon Lite <= 1.9 a través de Shortcode de Botón
La vulnerabilidad de Cross-Site Scripting almacenado en el tema Zenon Lite para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas de WordPress. El tema Zenon Lite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ dentro del shortcode de Botón del tema en todas las versiones hasta, e incluyendo,…
-
RegLevel <= 1.2.1 – Cross-Site Scripting Almacenado Autenticado (Administrador+)
El plugin RegLevel para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 1.2.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas…
-
Historial de Eventos de Línea de Tiempo <= 3.1 – Inyección de Objetos PHP Autenticada (Contributor+)
El plugin de Historial de Eventos de Línea de Tiempo para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.1 a través de la deserialización de la entrada no confiable del parámetro ‘timelines-data’. Esto hace posible que atacantes autenticados, con acceso de nivel Contributor y superior, inyecten…
-
Meks Video Importer <= 1.0.11 – Falta de Autorización para Modificación de Claves API Autorizadas (Subscriber+)
La vulnerabilidad CVE-2024-6599 en el plugin Meks Video Importer para WordPress permite a atacantes autenticados, con nivel de acceso de Suscriptor y superior, modificar las claves API del plugin debido a la falta de verificación de capacidades en la función ajax_save_settings en todas las versiones hasta, e incluyendo, la 1.0.11. Los usuarios afectados por esta…
-
Vulnerabilidad CVE-2024-5582 en el plugin Schema & Structured Data for WP & AMP
La vulnerabilidad CVE-2024-5582 encontrada en el plugin Schema & Structured Data for WP & AMP para WordPress permite a atacantes almacenar scripts maliciosos a través del atributo ‘url’ del plugin, lo que puede resultar en ataques de Cross-Site Scripting (XSS) en sitios web vulnerables. El plugin Schema & Structured Data for WP & AMP hasta…
-
Icegram Express – Plugin de Email Marketing y Automatización de Boletines <= 5.7.26 – Falta de Autorización
La falta de autorización en el plugin Email Subscribers de Icegram Express para WordPress lo hace vulnerable a accesos no autorizados a través de la API. Esta vulnerabilidad afecta a todas las versiones hasta la 5.7.26. El problema radica en la falta de una verificación de capacidades en el plugin, lo cual permite a atacantes…
-
简数采集器 (Keydatas) <= 2.5.2 – Subida de Archivos Arbitrarios sin Autenticación
El plugin 简数采集器 (Keydatas) para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función keydatas_downloadImages en todas las versiones hasta, e incluyendo, la 2.5.2. Esto permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado, lo que puede…