Ultimas Noticias
-
ViewMedica 9 <= 1.4.15 – Cross-Site Scripting entre sitios almacenados autenticados (Contribuidor+)
El plugin ViewMedica 9 para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘viewmedica’ del plugin en todas las versiones hasta, e incluyendo, la 1.4.15 debido a la insuficiente sanización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y…
-
Divulgación de Entradas Autenticadas (Contribuidor+) en Piotnet Addons para Elementor <= 2.4.32
El plugin Piotnet Addons para Elementor en WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 2.4.32 a través del shortcode ‘pafe-template’ debido a restricciones insuficientes sobre qué entradas se pueden incluir. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, extraer datos de entradas…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Social proof testimonials and reviews by Repuso <= 5.20 – Autenticado (Contributor+) Almacenado
La vulnerabilidad CVE-2024-13351, titulada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin de WordPress Social proof testimonials and reviews by Repuso. Esta vulnerabilidad permite a un atacante autenticado, con nivel de contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a…
-
Post Grid y Gutenberg Blocks 2.2.85 – 2.3.3 – Escalada de Privilegios no Autenticada
El plugin Post Grid y Gutenberg Blocks para WordPress es vulnerable a la escalada de privilegios en las versiones 2.2.85 a 2.3.3. Esto se debe a que el plugin no restringe adecuadamente qué metadatos de usuario se pueden actualizar durante el registro de perfil. Esto hace posible que atacantes no autenticados se registren en el…
-
Vulnerabilidad de Scripting entre Sitios Almacenada en PDF for WPForms + Drag and Drop Template Builder <= 4.6.0
El plugin PDF for WPForms + Drag and Drop Template Builder para WordPress es vulnerable a Scripting entre Sitios Almacenada a través del shortcode yeepdf_dotab del plugin en todas las versiones hasta, e incluyendo, la 4.6.0 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Chamber Dashboard Business Directory <= 3.3.8
En el plugin Chamber Dashboard Business Directory para WordPress se ha identificado una vulnerabilidad de Cross-Site Scripting almacenado que afecta a todas las versiones hasta la 3.3.8. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página…
-
Vulnerabilidad de Upload de Archivos en Admin and Customer Messages After Order for WooCommerce <= 13.2 – Cross-Site Scripting (CVE-2024-13355)
El plugin Admin and Customer Messages After Order for WooCommerce: OrderConvo para WordPress es vulnerable a la carga de archivos limitada debido a una validación insuficiente de tipos de archivos en la función upload_file() en todas las versiones hasta la 13.2. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, cargar archivos…