Ultimas Noticias
-
Vulnerabilidad en el plugin Kudos Donations – Easy donations and payments with Mollie <= 3.2.9
El plugin `Kudos Donations – Easy donations and payments with Mollie` para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de `add_query_arg` sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 3.2.9. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutarán si logran…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Kudos Donations – Easy donations and payments with Mollie <= 3.2.9
El plugin Kudos Donations – Easy donations and payments with Mollie para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘s’ en todas las versiones hasta, e incluyendo, la 3.2.9 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
LegalWeb Cloud <= 1.1.2 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-11761 afecta al plugin LegalWeb Cloud para WordPress en su versión 1.1.2 y anteriores. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web maliciosos en las páginas del sitio. La vulnerabilidad se debe a la falta de sanitización de…
-
HLS Player <= 1.0.10 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin HLS Player para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘hls_player’ en todas las versiones hasta, e incluyendo, la 1.0.10 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior,…
-
Vulnerabilidad en WP JobSearch <= 2.6.7 – Bypass de Autenticación para Toma de Cuenta y Escalada de Privilegios
La vulnerabilidad CVE-2024-11925 en el plugin JobSearch WP Job Board para WordPress permite a atacantes no autenticados iniciar sesión como cualquier usuario, incluidos los administradores del sitio, si conocen el correo electrónico del usuario. La vulnerabilidad de escalada de privilegios en el plugin JobSearch WP Job Board hasta la versión 2.6.7 se debe a que…
-
Image Alt Text <= 2.0.0 – Falta de Autorización para Actualización de Texto Alternativo de Imagen por Usuarios Autenticados (Suscriptor+)
El plugin Image Alt Text para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en las acciones AJAX iat_add_alt_txt_action e iat_update_alt_txt_action en todas las versiones hasta, e incluyendo, la 2.0.0. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen el…
-
WordPress Contact Forms by Cimatti <= 1.9.2 – Vulnerabilidad de Cross-Site Request Forgery a través de la función process_bulk_action
El plugin de WordPress Contact Forms by Cimatti es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.9.2. Esto se debe a la falta o incorrecta validación de nonce en la función process_bulk_action. Esto permite que atacantes no autenticados eliminen formularios a través de una solicitud falsificada siempre que puedan engañar a…