Ultimas Noticias
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Inventory Manager <= 2.3.2
La vulnerabilidad CVE-2024-13434 en el plugin WP Inventory Manager para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 2.3.2 y anteriores del plugin WP Inventory Manager son vulnerables a Reflected Cross-Site Scripting…
-
Checkout for PayPal <= 1.0.32 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Checkout for PayPal para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘checkout_for_paypal’ en todas las versiones hasta, e incluyendo, la 1.0.32 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
Calendario de Registro de Eventos por vcita <= 1.4.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Calendario de Registro de Eventos por vcita para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 1.4.0 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a…
-
Vulnerabilidad de autorización faltante en Multi Step Form <= 1.7.23 permite carga de archivos limitada sin autenticación
La vulnerabilidad de autorización faltante en el plugin Multi Step Form para WordPress permite a atacantes no autenticados cargar archivos limitados, como imágenes, sin la debida autorización. El plugin Multi Step Form para WordPress es vulnerable a la carga de archivos limitada no autorizada debido a la falta de una verificación de capacidad en la…
-
Contact Form 7 Redirect & Thank You Page <= 1.0.7 – Cross-Site Scripting Reflejado
La vulnerabilidad CVE-2024-12423 afecta al plugin de WordPress Contact Form 7 Redirect & Thank You Page, permitiendo a atacantes sin autenticar inyectar scripts maliciosos en páginas web mediante el parámetro ‘post’. La falta de saneamiento de la entrada y la escape inadecuada de la salida en las versiones anteriores a la 1.0.7, permite a los…
-
WP Smart TV <= 2.1.8 – Cross-Site Scripting Almacenado por Usuarios Autenticados (Contributor+)
El plugin WP Smart TV para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘tv-video-player’ en todas las versiones hasta, e incluyendo, la 2.1.8 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior,…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Car Demon <= 1.8.1
La vulnerabilidad CVE-2024-13334 en el plugin Car Demon para WordPress permite a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting al utilizar el parámetro ‘search_condition’ en las versiones hasta la 1.8.1. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida, lo que permite la inyección de scripts web arbitrarios…