Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting (XSS) en StreamWeasels YouTube Integration <= 1.3.6 para WordPress
La vulnerabilidad CVE-2024-11788 afecta al plugin StreamWeasels YouTube Integration para WordPress y permite a atacantes autenticados (nivel de contribuidor o superior) realizar ataques de Cross-Site Scripting almacenados, lo que pone en riesgo la seguridad de los usuarios del sitio. El plugin StreamWeasels YouTube Integration versiones 1.3.6 y anteriores no realiza una sanitización adecuada de la…
-
Vulnerabilidad en Tumult Hype Animations <= 1.9.15 – Subida de Archivos Arbitrarios (Autorizados) mediante la Función hypeanimations_panel
La vulnerabilidad en el plugin Tumult Hype Animations para WordPress permite la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función hypeanimations_panel() en todas las versiones hasta, e incluyendo, la 1.9.15. Esto hace posible que atacantes autenticados, con acceso de nivel Autor y superior, suban archivos arbitrarios…
-
SEO Landing Page Generator <= 1.66.2 – Cross-Site Scripting Reflejado
El plugin SEO Landing Page Generator para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, 1.66.2. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario…
-
File Manager Pro – Filester <= 1.8.5 – Inclusión de Archivos Locales JavaScript Autenticada (Administrador+)
La vulnerabilidad CVE-2024-9669 en el plugin de WordPress File Manager Pro – Filester permite a atacantes autenticados con nivel de acceso de Administrador o superior incluir y ejecutar archivos arbitrarios en el servidor a través del parámetro ‘fm_locale’. Esto puede llevar a la ejecución de código PHP malicioso, eludir controles de acceso y obtener datos…
-
Vulnerabilidad de Reflected Cross-Site Scripting en el plugin FAQ Builder AYS <= 1.7.1
El plugin FAQ Builder AYS para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘ays_faq_tab’ en todas las versiones hasta, e incluyendo, la 1.7.1 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarían si logran…
-
Vulnerabilidad de Cross-Site Scripting en Login con Vipps y MobilePay <= 1.3.3 – Autenticado (Contributor+)
El plugin Login with Vipps and MobilePay para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘continue-with-vipps’ en todas las versiones hasta, e incluyendo, la 1.3.3 debido a una insuficiente sanitización de entradas y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
File Manager Pro – Filester <= 1.8.4 – Subida de Archivos Arbitrarios (Subscriber+)
La vulnerabilidad CVE-2024-8066 en el plugin File Manager Pro – Filester para WordPress permite a atacantes autenticados, con acceso de nivel Subscriber y superior, subir archivos arbitrarios al servidor de un sitio afectado, lo que podría llevar a una ejecución remota de código. La función ‘fsConnector’ en todas las versiones hasta la 1.8.4 carece de…