Ultimas Noticias
-
oik <= 4.10.3 – Cross-Site Scripting en WordPress a través de shortcode bw_button
El plugin oik para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode bw_button en todas las versiones hasta la 4.10.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con nivel de acceso de contribuidor o superior,…
-
Vulnerabilidad de Cross-Site Scripting en WPBITS Addons para Elementor Page Builder
La vulnerabilidad CVE-2024-4862 en el plugin WPBITS Addons para Elementor Page Builder permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios widgets. Esta vulnerabilidad se encuentra en todas las versiones hasta la 1.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.…
-
Vulnerabilidad en Webico Slider Flatsome Addons <= 2.0.1 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de shortcode wbc_image
El plugin Webico Slider Flatsome Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wbc_image del plugin en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con…
-
EventON <= 2.2.15 – Falta de Autorización para Cross-Site Scripting Almacenado y Actualización de Configuraciones del Plugin
El plugin EventON para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la acción ‘eventon_import_settings’ ajax en todas las versiones hasta, e incluyendo, la 2.2.15. Esto permite que atacantes no autenticados actualicen las configuraciones del plugin, incluyendo la adición de cross-site scripting almacenado…
-
Pie Register – Basic <= 3.8.3.4 – Falta de Autorización para la Instalación/Activación/Desactivación de Plugins Arbitrarios por Usuarios Autenticados (Suscriptores+)
La vulnerabilidad CVE-2024-6069 en el plugin Registration Forms – User Registration Forms, Invitation-Based Registrations, Front-end User Profile, Login Form & Content Restriction para WordPress permite a usuarios autenticados con roles de Suscriptor o superiores instalar, activar y desactivar plugins arbitrarios de forma no autorizada, lo que podría llevar a la ejecución de código en el…
-
Easy Pixels by JEVNET <= 2.13 – Vulnerabilidad de Cross-Site Scripting Almacenado sin Autenticación
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Easy Pixels para WordPress hasta la versión 2.13 permite a atacantes inyectar scripts maliciosos en páginas web, los cuales se ejecutarán cuando un usuario acceda a dicha página sin necesidad de autenticación. La causa de esta vulnerabilidad radica en la falta de saneamiento de la entrada…
-
Product Designer <= 1.0.33 – Falta de Autorización para Eliminación Arbitraria de Adjuntos no Autenticados
La vulnerabilidad de falta de autorización en el plugin Product Designer para WordPress puede dar lugar a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función product_designer_ajax_delete_attach_id() en todas las versiones hasta, e incluyendo, la 1.0.33. Esto permite a atacantes no autenticados eliminar adjuntos arbitrarios. Para subsanar…