Ultimas Noticias
-
Vulnerabilidad de Inyección de Objetos PHP en Gallery <= 1.3 para WordPress
La vulnerabilidad de deserialización de datos no confiables en el complemento Gallery para WordPress permite la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.3 a través de la deserialización de la entrada no confiable del parámetro wd_gallery_$id. Esto permite que atacantes autenticados, con acceso de nivel Contributor o superior, inyecten…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Easy Code Snippets <= 1.0.2
El plugin Easy Code Snippets para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran…
-
코드엠샵 소셜톡 <= 1.2.0 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contributor+)
El complemento 코드엠샵 소셜톡 para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘msntt_add_plus_talk’ del complemento en todas las versiones hasta, e incluyendo, 1.2.0 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por los usuarios. Esto permite que atacantes autenticados, con acceso de contribuidor…
-
CardGate Payments para WooCommerce <= 3.2.1 – Cross-Site Scripting Reflejado
El plugin CardGate Payments para WooCommerce en WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 3.2.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes sin autenticar inyecten scripts web arbitrarios en páginas que se ejecutarán si…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Drag & Drop Builder para WordPress
El plugin Drag & Drop Builder, Human Face Detector, Pre-built Templates, Spam Protection, User Email Notifications & more! para WordPress presenta una vulnerabilidad de Reflected Cross-Site Scripting en todas las versiones hasta la 1.4.19. Esta vulnerabilidad se debe a una deficiente sanitización de la entrada y escape de la salida, lo que permite a atacantes…
-
SMS for Lead Capture Forms <= 1.1.0 – Falta de Autorización para Eliminar Mensajes Arbitrarios (Subscriber+)
El plugin SMS for Lead Capture Forms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función delete_message() en todas las versiones hasta, e incluyendo, la 1.1.0. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen mensajes arbitrarios.…
-
Shortcodes Blocks Creator Ultimate <= 2.2.0 – XSS Reflejado a través de _wpnonce
La vulnerabilidad CVE-2024-12167 afecta al plugin Shortcodes Blocks Creator Ultimate para WordPress y permite a atacantes no autenticados realizar ataques de XSS reflejado. Esto se debe a una sanitización insuficiente de la entrada y escape inadecuado de la salida. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible para…