Ultimas Noticias
-
Spotify Play Button para WordPress <= 2.11 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode spotifyplaybutton
La vulnerabilidad CVE-2024-11192 encontrada en el plugin Spotify Play Button para WordPress permite a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado mediante el shortcode spotifyplaybutton. El plugin Spotify Play Button para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode spotifyplaybutton en todas las versiones hasta la 2.11. Esto se…
-
BNE Gallery Extended <= 1.2.1 – Cross-Site Scripting Almacenado Autenticado a través del shortcode de la galería
La vulnerabilidad CVE-2024-11119 afecta al plugin BNE Gallery Extended para WordPress, permitiendo a atacantes autenticados (con nivel de contribuidor o superior) ejecutar scripts maliciosos en páginas web. El plugin BNE Gallery Extended para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘gallery’ en todas las versiones hasta, e incluyendo, la 1.2.1 debido…
-
Permitir Archivos SVG – Subir archivos svg en WordPress sin problemas <= 1.1.0 – Cross-site Scripting almacenado autenticado (Autor+) a través de la carga de archivos SVG
El plugin Support SVG – Subir archivos svg en WordPress sin problemas es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta y incluyendo la 1.1.0 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de…
-
Booster for WooCommerce <= 7.2.3 – Cross-Site Scripting a través de Shortcode wcj_product_meta (ShopManager+)
El plugin Booster for WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wcj_product_meta en todas las versiones hasta, e incluyendo, la 7.2.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de…
-
Vulnerabilidad de Cross-Site Scripting en Booking Calendar, Sistema de Reserva de Citas <= 3.2.15
La vulnerabilidad CVE-2024-9504 permite a atacantes cargar archivos SVG maliciosos en el plugin Booking calendar, Sistema de Reserva de Citas para WordPress, lo que puede resultar en la ejecución de scripts no deseados en páginas web. La versión 3.2.15 y anteriores de Booking calendar son vulnerables a un tipo específico de ataque de Cross-Site Scripting…
-
Vulnerabilidad de Cross-Site Scripting en múltiples plugins de WordPress
En este informe se describe una vulnerabilidad de Reflected Cross-Site Scripting en varios plugins de WordPress a través del shortcode cminds_free_guide en diversas versiones, debido a una sanitización insuficiente de la entrada y escape de la salida. La falta de sanitización adecuada de la entrada y escape de la salida en los plugins de WordPress…
-
Vulnerabilidad de Lectura de Archivos Arbitrarios para Product Input Fields de WooCommerce <= 1.9 – (Contribuidor+) Autenticado
La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for WooCommerce para WordPress permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, leer el contenido de archivos arbitrarios en el servidor, lo que puede contener información sensible. La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for…