Ultimas Noticias
-
Motors – Car Dealer, Clasificados y Listados <= 1.4.9 – Autorización Ausente
El plugin Motors – Car Dealer, Clasificados y Listados para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función stm_edit_delete_user_car en todas las versiones hasta, e incluyendo, la 1.4.8. Esto permite a atacantes no autenticados despublicar publicaciones y páginas arbitrarias. Los usuarios…
-
Vulnerabilidad de Cross-Site Scripting en The Post Grid <= 7.7.1
El plugin The Post Grid – Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo de la etiqueta de título de la sección en todas las versiones hasta, e incluyendo, la 7.7.1. Esto se debe a una insuficiente sanitización de entrada y escapado…
-
LA-Studio Element Kit for Elementor <= 1.3.8.1 – Inclusión Local de Archivos por Usuarios Autenticados (Contributor+)
El plugin LA-Studio Element Kit for Elementor para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 1.3.8.1 a través del parámetro ‘map_style’. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la…
-
PayPlus Payment Gateway <= 6.6.8 – Inyección SQL sin autenticación
La vulnerabilidad de Inyección SQL sin autenticación en el plugin PayPlus Payment Gateway para WordPress en todas las versiones hasta, e incluyendo, la 6.6.8 permite a atacantes no autenticados agregar consultas SQL adicionales a consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos. La falta de escape adecuado en…
-
Falla de Seguridad en Void Contact Form 7 Widget For Elementor Page Builder <= 2.4 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del atributo cf7_redirect_page
El plugin de WordPress Void Contact Form 7 Widget For Elementor Page Builder es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘cf7_redirect_page’ dentro del widget Void Contact From 7 en todas las versiones hasta, e incluyendo, la 2.4. Esto se debe a una insuficiente sanitización de entradas y escape de salida en atributos…
-
Boot Store <= 1.6.4 – Cross-Site Scripting por Almacenamiento Autenticado (Contributor+) a través del Shortcode de Botón
El tema de Boot Store para WordPress es vulnerable a Cross-Site Scripting por almacenamiento a través del parámetro ‘link’ dentro del Shortcode de Botón del tema en todas las versiones hasta, e incluyendo, la 1.6.4 debido a la insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Inyección SQL en el Plugin de Google Maps para WordPress – WP MAPS <= 4.6.1 – Autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-2386 ha sido descubierta en el plugin de Google Maps para WordPress – WP MAPS hasta la versión 4.6.1, la cual permite a atacantes autenticados con nivel de acceso de contribuidor o superior realizar inyección de SQL a través del parámetro ‘id’ del shortcode ‘put_wpgm’. Esta vulnerabilidad se debe a la falta de…