Ultimas Noticias
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.25.7 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘url’ del widget Icon en todas las versiones hasta, e incluyendo, la 3.25.7 debido a una insuficiente sanitización de la entrada y escapado de salida. Esto permite a atacantes autenticados, con…
-
Total Upkeep <= 1.16.6 – Ejecución remota de código autenticada (Administrador+) a través de la configuración de copia de seguridad
El plugin Total Upkeep – WordPress Backup Plugin plus Restore & Migrate by BoldGrid para WordPress es vulnerable a la Ejecución Remota de Código en todas las versiones hasta, e incluyendo, la 1.16.6 a través del parámetro cron_interval. Esto se debe a la falta de validación y saneamiento de la entrada, lo que permite a…
-
AppPresser – Marco de Aplicaciones Móviles <= 4.4.6 – Escalada de Privilegios no Autenticada a través de la Restablecimiento de Contraseña
La vulnerabilidad en el plugin AppPresser – Marco de Aplicaciones Móviles para WordPress permite a atacantes no autenticados realizar una escalada de privilegios a través de la toma de control de cuentas en todas las versiones hasta, e incluyendo, la 4.4.6. Esto se debe a que el plugin no valida adecuadamente el código de restablecimiento…
-
Vulnerabilidad de Cross-Site Scripting en Jeg Elementor Kit <= 2.6.9 a través del Widget JKit – Contador
La vulnerabilidad CVE-2024-10308 en el plugin Jeg Elementor Kit para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado se produce debido a una sanitización insuficiente de la…
-
Jeg Elementor Kit <= 2.6.9 – Exposición de Información Sensible a través de sg_content_template
El plugin Jeg Elementor Kit para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.6.9 a través de la función render_content en class/elements/views/class-tabs-view.php. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos sensibles de plantillas privadas, pendientes y borradores. Para subsanar…
-
Vulnerabilidad de Missing Authorization en plugin Hustle para WordPress
El plugin Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress presenta una vulnerabilidad de acceso no autorizado a los datos debido a la falta de verificación de capacidades en la función preview_module() en todas las versiones hasta, e incluyendo, la 7.8.5. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor o superior,…
-
Vulnerabilidad de Seguridad en Parsi Date <= 5.1.1 – Cross-Site Scripting Reflejado a través del Parámetro add_query_arg
El complemento Parsi Date para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la utilización de add_query_arg sin un escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 5.1.1. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario…