Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Grey Owl Lightbox <= 1.6.1 para usuarios autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-11440 en el plugin Grey Owl Lightbox para WordPress permite a usuarios autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘gol_button’ del plugin en todas las versiones hasta, e incluyendo, la 1.6.1. El problema radica en la insuficiente sanitización de entrada y escapado de…
-
WIP Incoming Lite <= 1.1.1 – CSRF a XSS almacenado
El plugin WIP Incoming Lite para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.1.1. Esto se debe a la falta de validación de nonce incorrecta en la función save_option(). Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una…
-
Vulnerabilidad de almacenamiento de Scripting en RecipePress Reloaded <= 2.12.0
El plugin RecipePress Reloaded para WordPress es vulnerable a Scripting en almacenamiento debido a la falta de sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad CVE-2024-11414…
-
LSX Tour Operator <= 1.4.9 – XSS almacenado autenticado (Author+) a través de la carga de archivos SVG
El plugin LSX Tour Operator para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.4.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar…
-
Vulnerabilidad de Reflected Cross-Site Scripting en el Plugin salavat counter <= 0.9.1
El plugin salavat counter para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘page’ en todas las versiones hasta la 0.9.1 debido a la insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Vulnerabilidad de Cross-Site Scripting almacenado en SuevaFree Essential Kit <= 1.1.3 (Autenticado como Contributor+)
El plugin SuevaFree Essential Kit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘counter’ en todas las versiones hasta, e incluyendo, la 1.1.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos provistos por los usuarios. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting en Include Mastodon Feed <= 1.9.5 – Autenticado (Contribuidor+) Almacenado
La vulnerabilidad CVE-2024-11455 se encuentra en el plugin Include Mastodon Feed para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario accede a una página comprometida. La versión vulnerable del plugin incluye el shortcode ‘include-mastodon-feed’ y carece de una adecuada sanitización de entrada…