Ultimas Noticias
-
Vulnerabilidad de carga de archivos arbitrarios en IMGspider <= 2.3.10 – Subida de archivos arbitrarios autenticados (Contributor+) a través de 'upload_img_file'
La vulnerabilidad CVE-2024-6318 permite la carga de archivos arbitrarios en el plugin IMGspider para WordPress, debido a la falta de validación del tipo de archivo en la función ‘upload_img_file’ en todas las versiones hasta, e incluyendo, la 2.3.10. Esto permite a atacantes autenticados, con permisos de contribuidor y superiores, subir archivos arbitrarios en el servidor…
-
Vulnerabilidad de Denegación de Servicio por Expresiones Regulares en Premium Addons for Elementor <= 4.10.35
La vulnerabilidad CVE-2024-6434, también conocida como ‘Uncontrolled Resource Consumption’ (Consumo no controlado de recursos), afecta al plugin Premium Addons for Elementor para WordPress en versiones hasta la 4.10.35. Esta vulnerabilidad se debe al procesamiento de entrada suministrada por el usuario como una expresión regular, lo que permite a atacantes autenticados con nivel de acceso de…
-
IMGspider <= 2.3.10 – Subida de Archivos Arbitrarios (Contributor+) con Autenticación
El plugin IMGspider para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ‘upload’ en todas las versiones hasta, e incluyendo, la 2.3.10. Esto hace posible que atacantes autenticados, con permisos de nivel contribuidor y superiores, suban archivos arbitrarios en el servidor…
-
LA-Studio Element Kit for Elementor <= 1.3.8.1 – Inclusión de Archivo Local Autenticado (Contribuidor+) a través de 'progress_type'
Este reporte discute una vulnerabilidad de Inclusión de Archivo Local en el plugin LA-Studio Element Kit for Elementor para WordPress, que afecta a todas las versiones hasta la 1.3.8.1. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de Contribuidor o superior, incluir y ejecutar archivos arbitrarios en el servidor. La vulnerabilidad CVE-2024-37479 radica…
-
Vulnerabilidad en One Click Order Re-Order <= 1.1.9 – Falta de autorización para Cross-Site Scripting almacenado de usuarios autenticados (Subscriber+)
La vulnerabilidad ‘Missing Authorization’ en el plugin One Click Order Re-Order para WordPress permite a atacantes autenticados, con acceso de nivel Subscriber y superior, modificar los ajustes del plugin, incluyendo la posibilidad de añadir Cross-Site Scripting almacenado. El plugin One Click Order Re-Order para WordPress es vulnerable a la modificación no autorizada de datos debido…
-
Elementor Addons by Livemesh <= 8.3.7 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Posts Grid
El complemento Elementor Addons by Livemesh para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Posts Grid en todas las versiones hasta, e incluyendo, la 8.3.7 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Addons by Livemesh <= 8.3.7
El plugin Elementor Addons by Livemesh para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 8.3.7 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…