Ultimas Noticias
-
Vulnerabilidad de Missing Authorization en plugin Hustle para WordPress
El plugin Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress presenta una vulnerabilidad de acceso no autorizado a los datos debido a la falta de verificación de capacidades en la función preview_module() en todas las versiones hasta, e incluyendo, la 7.8.5. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor o superior,…
-
Vulnerabilidad de Seguridad en Parsi Date <= 5.1.1 – Cross-Site Scripting Reflejado a través del Parámetro add_query_arg
El complemento Parsi Date para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la utilización de add_query_arg sin un escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 5.1.1. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario…
-
Spotify Play Button para WordPress <= 2.11 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode spotifyplaybutton
La vulnerabilidad CVE-2024-11192 encontrada en el plugin Spotify Play Button para WordPress permite a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado mediante el shortcode spotifyplaybutton. El plugin Spotify Play Button para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode spotifyplaybutton en todas las versiones hasta la 2.11. Esto se…
-
BNE Gallery Extended <= 1.2.1 – Cross-Site Scripting Almacenado Autenticado a través del shortcode de la galería
La vulnerabilidad CVE-2024-11119 afecta al plugin BNE Gallery Extended para WordPress, permitiendo a atacantes autenticados (con nivel de contribuidor o superior) ejecutar scripts maliciosos en páginas web. El plugin BNE Gallery Extended para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘gallery’ en todas las versiones hasta, e incluyendo, la 1.2.1 debido…
-
Permitir Archivos SVG – Subir archivos svg en WordPress sin problemas <= 1.1.0 – Cross-site Scripting almacenado autenticado (Autor+) a través de la carga de archivos SVG
El plugin Support SVG – Subir archivos svg en WordPress sin problemas es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta y incluyendo la 1.1.0 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de…
-
Booster for WooCommerce <= 7.2.3 – Cross-Site Scripting a través de Shortcode wcj_product_meta (ShopManager+)
El plugin Booster for WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wcj_product_meta en todas las versiones hasta, e incluyendo, la 7.2.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de…
-
Vulnerabilidad de Cross-Site Scripting en Booking Calendar, Sistema de Reserva de Citas <= 3.2.15
La vulnerabilidad CVE-2024-9504 permite a atacantes cargar archivos SVG maliciosos en el plugin Booking calendar, Sistema de Reserva de Citas para WordPress, lo que puede resultar en la ejecución de scripts no deseados en páginas web. La versión 3.2.15 y anteriores de Booking calendar son vulnerables a un tipo específico de ataque de Cross-Site Scripting…