Ultimas Noticias
-
Vulnerabilidad en plugin Easy Twitter Feed para WordPress <= 1.2.6 – Exposición de Publicaciones Autorizadas (Contributor+)
La vulnerabilidad CVE-2024-10666 en el plugin Easy Twitter Feed – Twitter feeds para WordPress permite a atacantes autenticados con nivel de acceso Contributor o superior acceder a información de publicaciones protegidas por contraseña, privadas o en borrador. La vulnerabilidad de autorización en el plugin Easy Twitter Feed – Twitter feeds para WordPress, en todas las…
-
Paquetes Premium – Vende Productos Digitales de Forma Segura <= 5.9.3 – XSS Reflejado a través de add_query_arg
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Premium Packages – Sell Digital Products Securely para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. La versión vulnerable de este plugin es la 5.9.3…
-
Vulnerabilidad de WPAdverts – Plugin de Clasificados <= 2.1.7 – Cross-Site Scripting Reflejado
El plugin WPAdverts – Plugin de Clasificados para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la falta de escape en las URL en todas las versiones hasta, e incluyendo, la 2.1.7. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para…
-
Activity Log – Monitor & Record User Changes <= 2.11.1 – Vulnerabilidad de Cross-Site Scripting almacenado sin autenticación a través del contexto del evento
La vulnerabilidad CVE-2024-10788 afecta al plugin de WordPress Activity Log – Monitor & Record User Changes en versiones anteriores a 2.11.1, permitiendo a atacantes no autenticados inyectar scripts web maliciosos que se ejecutarán cuando un usuario administrativo acceda a una página comprometida. La falta de sanitización adecuada de la entrada y escape de la salida…
-
My Contador lesr <= 2.0 – Falta de Autorización para Exportar CSV de Registro de Usuarios a Usuarios No Autenticados
El plugin My Contador lesr para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de verificación de capacidad en la función exportar_registros() en todas las versiones hasta, e incluyendo, la 2.0. Esto permite a atacantes no autenticados exportar datos de usuario. Los usuarios afectados por esta vulnerabilidad deben actualizar de…
-
F4 Improvements <= 1.9.0 – XSS almacenado autenticado (Autor+) a través de carga de archivos SVG
El complemento F4 Improvements para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.9.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios…
-
Grid View Gallery <= 1.0 – Inyección de Objetos PHP Autenticada (Editor+)
El plugin Grid View Gallery para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.0 a través de la deserialización de datos no seguros del parámetro cs_all_photos_details. Esto permite a atacantes autenticados, con acceso de nivel Editor y superior, inyectar un Objeto PHP. No se conoce una…