Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Checkout with Cash App en WooCommerce <= 6.0.2
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Checkout with Cash App en WooCommerce para WordPress permite a atacantes no autenticados insertar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad CVE-2024-9635 se produce debido a una neutralización inadecuada…
-
Vulnerabilidad en WPGYM permite la carga de archivos arbitrarios sin autenticación
El plugin WPGYM – WordPress Gym Management System es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función MJ_gmgt_user_avatar_image_upload() en todas las versiones hasta, e incluyendo, la 67.1.0. Esto permite que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo…
-
Custom CSS, JS & PHP <= 2.3.0 – Cross-Site Scripting Reflejado
El plugin Custom CSS, JS & PHP para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg & remove_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.3.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran…
-
Vulnerabilidad de Cross-Site Scripting en Chessgame Shizzle <= 1.3.0
El plugin Chessgame Shizzle para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘cs_nonce’ en todas las versiones hasta, e incluyendo, la 1.3.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Divulgación de Ruta Completa de Archivo en Wp Maximum Upload File Size <= 1.1.3 – Autenticado (Autor+) – CVE-2024-11265
El plugin Increase Maximum Upload File Size | Increase Execution Time para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 1.1.3. Esto se debe a que devuelve mensajes de error de carga de imágenes con información de la ruta completa. Esto permite a atacantes autenticados, con…
-
AutoListicle: Actualización Automática de Artículos con Listas Numeradas <= 1.2.3 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin AutoListicle: Actualización Automática de Artículos con Listas Numeradas para WordPress, hasta la versión 1.2.3, permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin AutoListicle es vulnerable a Cross-Site Scripting almacenado debido a…
-
WP Travel Engine <= 6.2.1 – Falta de Autorización para la Actualización de Configuraciones del Plugin por Usuarios Autenticados (Contribuidores+)
El plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función wpte_onboard_save_function_callback() en todas las versiones hasta, e incluyendo, la 6.2.1. Esto permite que atacantes autenticados, con acceso de nivel…