Ultimas Noticias
-
AppPresser – Marco de Aplicaciones Móviles <= 4.4.6 – Escalada de Privilegios no Autenticada a través de la Restablecimiento de Contraseña
La vulnerabilidad en el plugin AppPresser – Marco de Aplicaciones Móviles para WordPress permite a atacantes no autenticados realizar una escalada de privilegios a través de la toma de control de cuentas en todas las versiones hasta, e incluyendo, la 4.4.6. Esto se debe a que el plugin no valida adecuadamente el código de restablecimiento…
-
Vulnerabilidad de Cross-Site Scripting en Jeg Elementor Kit <= 2.6.9 a través del Widget JKit – Contador
La vulnerabilidad CVE-2024-10308 en el plugin Jeg Elementor Kit para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado se produce debido a una sanitización insuficiente de la…
-
Jeg Elementor Kit <= 2.6.9 – Exposición de Información Sensible a través de sg_content_template
El plugin Jeg Elementor Kit para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.6.9 a través de la función render_content en class/elements/views/class-tabs-view.php. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos sensibles de plantillas privadas, pendientes y borradores. Para subsanar…
-
Vulnerabilidad de Missing Authorization en plugin Hustle para WordPress
El plugin Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress presenta una vulnerabilidad de acceso no autorizado a los datos debido a la falta de verificación de capacidades en la función preview_module() en todas las versiones hasta, e incluyendo, la 7.8.5. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor o superior,…
-
Vulnerabilidad de Seguridad en Parsi Date <= 5.1.1 – Cross-Site Scripting Reflejado a través del Parámetro add_query_arg
El complemento Parsi Date para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la utilización de add_query_arg sin un escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 5.1.1. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario…
-
Spotify Play Button para WordPress <= 2.11 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode spotifyplaybutton
La vulnerabilidad CVE-2024-11192 encontrada en el plugin Spotify Play Button para WordPress permite a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado mediante el shortcode spotifyplaybutton. El plugin Spotify Play Button para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode spotifyplaybutton en todas las versiones hasta la 2.11. Esto se…
-
BNE Gallery Extended <= 1.2.1 – Cross-Site Scripting Almacenado Autenticado a través del shortcode de la galería
La vulnerabilidad CVE-2024-11119 afecta al plugin BNE Gallery Extended para WordPress, permitiendo a atacantes autenticados (con nivel de contribuidor o superior) ejecutar scripts maliciosos en páginas web. El plugin BNE Gallery Extended para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘gallery’ en todas las versiones hasta, e incluyendo, la 1.2.1 debido…