Ultimas Noticias
-
Exposición de Información en Product Table for WooCommerce (wooproducttable.com)
El plugin Product Table for WooCommerce by CodeAstrology (wooproducttable.com) para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 3.5.1 a través del parámetro var_dump_table. Esto permite a atacantes no autenticados var data. La falta de autorización en el plugin Product Table for WooCommerce by CodeAstrology (wooproducttable.com)…
-
WPDash Notes <= 1.3.5 – Falta de Autorización para la Exposición de Información Sensible (Suscriptor+)
El plugin WPDash Notes para WordPress es vulnerable a un acceso no autorizado a los datos debido a la falta de una comprobación de capacidades en la función ‘wp_ajax_post_it_list_comment’ en todas las versiones hasta, e incluyendo, la 1.3.5. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan ver comentarios en…
-
Vulnerabilidad en WP User Manager permite la adición/remoción de barras laterales personalizadas de Carbon Fields sin autorización
La vulnerabilidad CVE-2024-10216 encontrada en el plugin WP User Manager – User Profile Builder & Membership para WordPress permite la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en las funciones ‘add_sidebar’ y ‘remove_sidebar’ en todas las versiones hasta, e incluyendo, la 2.9.11. Esto posibilita a atacantes autenticados, con…
-
DeBounce Email Validator <= 5.6.5 – Cross-Site Scripting Reflejado
El plugin DeBounce Email Validator para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros ‘from’, ‘to’ y ‘key’ en todas las versiones hasta, e incluyendo, la 5.6.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que…
-
Control horas <= 1.0.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Control horas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘ch_registro’ del plugin en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
MailMunch – Crecer tu lista de Email <= 3.1.8 – Reflected Cross-Site Scripting
El plugin de WordPress MailMunch – Crecer tu lista de Email es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 3.1.8. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a…
-
Vulnerabilidad de autorización en plugin Ultimate YouTube Video & Shorts Player With Vimeo <= 3.3
El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta una vulnerabilidad de autorización que permite a usuarios autenticados, con nivel de suscriptor o superior, acceder a ajustes de listas de reproducción. La vulnerabilidad CVE-2024-11355 reside en la falta de comprobación de capacidades en la función get_setting() de todas las versiones del…