Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Philantro – Donaciones y Gestión de Donantes <= 5.2 – Autenticado (Contributor+)
El plugin Philantro – Donaciones y Gestión de Donantes para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin como ‘donate’ en todas las versiones hasta la 5.2 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados,…
-
Vulnerabilidad de Cross-Site Scripting en Taeggie Feed <= 0.1.9 para WordPress (Contribuidor+ autenticado)
La vulnerabilidad CVE-2024-11748 en el plugin Taeggie Feed para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas, lo que puede resultar en ataques de Cross-Site Scripting almacenado. El plugin Taeggie Feed para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘taeggie-feed’ en todas…
-
Video Share VOD – Script de construcción de sitios de video <= 2.6.30 – Cross-Site Scripting Almacenado Autenticado
El plugin Video Share VOD – Script de construcción de sitios de video para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘videowhisper_player_html’ en todas las versiones hasta, e incluyendo, la 2.6.30 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Contests by Rewards Fuel <= 2.0.65
El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘RF_CONTEST’ en todas las versiones hasta 2.0.65 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuyente y superior,…
-
ScanCircle <= 2.9.2 – Cross-Site Scripting Almacenado (Contribuidor+) Autenticado
La vulnerabilidad CVE-2024-11439 en el plugin ScanCircle para WordPress permite a atacantes autenticados con acceso de contribuidor y superior inyectar scripts web arbitrarios en páginas, lo que puede ser explotado para ejecutar código malicioso en el navegador de los usuarios. La versión 2.9.2 y anteriores de ScanCircle sufren de una falta de sanitización de entradas…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Easy Waveform Player <= 1.2.0 para usuarios autenticados (Contributor+)
El plugin Easy Waveform Player para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘easywaveformplayer’ en todas las versiones hasta, e incluyendo, la 1.2.0 debido a la insuficiente sanitización de entrada y escapado de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de…
-
LifterLMS – WP LMS para eLearning, Cursos Online y Quizzes <= 7.8.5 – Falta de Autorización para Eliminación Arbitraria de Publicaciones (Subscriber+)
La vulnerabilidad de falta de autorización en el plugin LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes para WordPress permite la eliminación arbitraria de publicaciones debido a la ausencia de una verificación de capacidad en la acción ‘llms_delete_cert’ en todas las versiones hasta, e incluyendo, la 7.8.5. Esto posibilita que atacantes autenticados, con…