Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Login con Vipps y MobilePay <= 1.3.3 – Autenticado (Contributor+)
El plugin Login with Vipps and MobilePay para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘continue-with-vipps’ en todas las versiones hasta, e incluyendo, la 1.3.3 debido a una insuficiente sanitización de entradas y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
File Manager Pro – Filester <= 1.8.4 – Subida de Archivos Arbitrarios (Subscriber+)
La vulnerabilidad CVE-2024-8066 en el plugin File Manager Pro – Filester para WordPress permite a atacantes autenticados, con acceso de nivel Subscriber y superior, subir archivos arbitrarios al servidor de un sitio afectado, lo que podría llevar a una ejecución remota de código. La función ‘fsConnector’ en todas las versiones hasta la 1.8.4 carece de…
-
Vulnerabilidad en el plugin Kudos Donations – Easy donations and payments with Mollie <= 3.2.9
El plugin `Kudos Donations – Easy donations and payments with Mollie` para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de `add_query_arg` sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 3.2.9. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutarán si logran…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Kudos Donations – Easy donations and payments with Mollie <= 3.2.9
El plugin Kudos Donations – Easy donations and payments with Mollie para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘s’ en todas las versiones hasta, e incluyendo, la 3.2.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
LegalWeb Cloud <= 1.1.2 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-11761 afecta al plugin LegalWeb Cloud para WordPress en su versión 1.1.2 y anteriores. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web maliciosos en las páginas del sitio. La vulnerabilidad se debe a la falta de sanitización de…
-
HLS Player <= 1.0.10 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin HLS Player para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘hls_player’ en todas las versiones hasta, e incluyendo, la 1.0.10 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior,…
-
Vulnerabilidad en WP JobSearch <= 2.6.7 – Bypass de Autenticación para Toma de Cuenta y Escalada de Privilegios
La vulnerabilidad CVE-2024-11925 en el plugin JobSearch WP Job Board para WordPress permite a atacantes no autenticados iniciar sesión como cualquier usuario, incluidos los administradores del sitio, si conocen el correo electrónico del usuario. La vulnerabilidad de escalada de privilegios en el plugin JobSearch WP Job Board hasta la versión 2.6.7 se debe a que…