Ultimas Noticias
-
Permitir Archivos SVG – Subir archivos svg en WordPress sin problemas <= 1.1.0 – Cross-site Scripting almacenado autenticado (Autor+) a través de la carga de archivos SVG
El plugin Support SVG – Subir archivos svg en WordPress sin problemas es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta y incluyendo la 1.1.0 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de…
-
Booster for WooCommerce <= 7.2.3 – Cross-Site Scripting a través de Shortcode wcj_product_meta (ShopManager+)
El plugin Booster for WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wcj_product_meta en todas las versiones hasta, e incluyendo, la 7.2.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de…
-
Vulnerabilidad de Cross-Site Scripting en Booking Calendar, Sistema de Reserva de Citas <= 3.2.15
La vulnerabilidad CVE-2024-9504 permite a atacantes cargar archivos SVG maliciosos en el plugin Booking calendar, Sistema de Reserva de Citas para WordPress, lo que puede resultar en la ejecución de scripts no deseados en páginas web. La versión 3.2.15 y anteriores de Booking calendar son vulnerables a un tipo específico de ataque de Cross-Site Scripting…
-
Vulnerabilidad de Cross-Site Scripting en múltiples plugins de WordPress
En este informe se describe una vulnerabilidad de Reflected Cross-Site Scripting en varios plugins de WordPress a través del shortcode cminds_free_guide en diversas versiones, debido a una sanitización insuficiente de la entrada y escape de la salida. La falta de sanitización adecuada de la entrada y escape de la salida en los plugins de WordPress…
-
Vulnerabilidad de Lectura de Archivos Arbitrarios para Product Input Fields de WooCommerce <= 1.9 – (Contribuidor+) Autenticado
La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for WooCommerce para WordPress permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, leer el contenido de archivos arbitrarios en el servidor, lo que puede contener información sensible. La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for…
-
Vulnerabilidad en InPost Gallery: Ejecución arbitraria de Shortcode a través de inpost_gallery_get_shortcode_template
La vulnerabilidad CVE-2024-11002 afecta al plugin InPost Gallery para WordPress, permitiendo la ejecución arbitraria de shortcodes a través de la acción AJAX inpost_gallery_get_shortcode_template en todas las versiones hasta la 2.1.4.2. Esta vulnerabilidad radica en que el software permite a los usuarios ejecutar una acción sin validar correctamente un valor antes de ejecutar do_shortcode, lo que…
-
Vulnerabilidad en plugin Spam protection, Anti-Spam, FireWall by CleanTalk <= 6.44 permite instalación de plugins arbitrarios sin autorización
La vulnerabilidad CVE-2024-10781 en el plugin Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress permite a atacantes no autenticados instalar y activar plugins arbitrarios, lo que puede conducir a la ejecución remota de código en el sitio web afectado. La vulnerabilidad reside en la falta de una comprobación de valor vacío en el campo ‘api_key’…