Ultimas Noticias
-
Vulnerabilidad en Plugin WooCommerce Accordion FAQ que permite Cross-Site Scripting
El plugin XPlainer – WooCommerce Product FAQ [WooCommerce Accordion FAQ Plugin] hasta la versión 1.6.4 presenta una vulnerabilidad de autorización faltante que permite a atacantes autenticados almacenar scripts maliciosos que se ejecutarán al visualizar plantillas de tablero o acceder a preguntas frecuentes. El plugin XPlainer – WooCommerce Product FAQ [WooCommerce Accordion FAQ Plugin] para WordPress…
-
Genesis Blocks <= 3.1.3 – Cross-Site Scripting (XSS) Almacenado Autenticado a través de Atributos de Bloques de Compartir
El plugin Genesis Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque de Compartir del plugin en todas las versiones hasta, e incluyendo, la 3.1.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
WP2Speed Faster – Optimize PageSpeed Insights Score 90-100 <= 1.0.1 – Uso de Credenciales Codificadas
El plugin WP2Speed Faster – Optimize PageSpeed Insights Score 90-100 para WordPress es vulnerable a accesos no autorizados en todas las versiones hasta, e incluyendo, la 1.0.1. Esto se debe al uso de credenciales codificadas para autenticar todas las solicitudes de API entrantes. Esto hace posible que atacantes no autenticados sobrescriban CSS, actualicen la configuración…
-
Extensiones para Elementor <= 2.0.31 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de EE Events y EE Flipbox Widget
La vulnerabilidad CVE-2024-4868 afecta al plugin Extensions for Elementor en todas las versiones hasta, e incluyendo, 2.0.31. Esto permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página. La falta de saneamiento de entrada y escape de salida en…
-
Vulnerabilidad en Cliengo – Chatbot <= 3.0.1 que permite Actualizaciones no Autorizadas
La vulnerabilidad CVE-2024-5992 en el plugin Cliengo – Chatbot para WordPress permite a atacantes no autenticados modificar los ajustes del chatbot de forma no autorizada. El plugin Cliengo – Chatbot para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en las funciones ‘update_chatbot_token’ y…
-
LearnDash LMS – Reports Free <= 1.8.2 – Falta de Autorización para Actualizar Configuraciones del Plugin
La vulnerabilidad de autorización faltante en el plugin LearnDash LMS – Reports para WordPress permite a atacantes autenticados con acceso de nivel Suscriptor y superior actualizar varias configuraciones del plugin de forma no autorizada. El plugin LearnDash LMS – Reports para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta…
-
Panda Video <= 1.4.0 – Cross-Site Scripting almacenado (Contributor+)
El plugin Panda Video para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, 1.4.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten scripts web arbitrarios en páginas que…