Ultimas Noticias
-
Goya <= 1.0.8.7 – Cross-Site Scripting sin autenticación a través de múltiples parámetros
El tema Goya para WordPress es vulnerable a Cross-Site Scripting reflejado a través de los parámetros ‘attra-color’, ‘attra-size’ y ‘product-cata’ en versiones hasta, e incluyendo, 1.0.8.7 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
UsersWP – Plugin de Formulario de Inicio de Sesión Front-end, Registro de Usuario, Perfil de Usuario y Directorio de Miembros para WordPress <= 1.2.10 – Inyección de SQL no autenticada a través de 'uwp_sort_by'
La vulnerabilidad de Inyección de SQL del tipo tiempo en el plugin UsersWP para WordPress permite a atacantes no autenticados agregar consultas SQL adicionales que pueden ser utilizadas para extraer información sensible de la base de datos. El plugin UsersWP – Front-end login form, User Registration, User Profile & Members Directory para WordPress es vulnerable…
-
Vulnerabilidad CSRF en Floating Social Buttons <= 1.5
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Floating Social Buttons para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.5. Esta vulnerabilidad se debe a la falta de validación de nonce en la función floating_social_buttons_option(). Esto permite a atacantes no autenticados actualizar la configuración de los plugins e inyectar scripts…
-
Vulnerabilidad de Cross-Site Scripting en Scylla lite <= 1.8.3 a través de Button Shortcode
La vulnerabilidad CVE-2024-5922 en el tema Scylla lite para WordPress permite a atacantes autenticados con nivel de acceso Contributor o superior realizar ataques de Cross-Site Scripting almacenado a través del parámetro ‘url’ en el shortcode de botón del tema. La versión 1.8.3 y anteriores de Scylla lite no sanitizan adecuadamente la entrada de datos y…
-
Theron Lite <= 2.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode de botón
El tema Theron Lite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ dentro del shortcode de botón del tema en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y…
-
Silesia <= 1.0.6 – Cross-Site Scripting por Almacenamiento Autenticado (Contribuidores+) a través de Shortcode de Botón
El tema de Silesia para WordPress es vulnerable a Cross-Site Scripting por almacenamiento a través del atributo ‘link’ dentro del Shortcode de Botón del tema en todas las versiones hasta, e incluyendo, la 1.0.6 debido a la insuficiente sanitización de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de…
-
Infinite <= 1.1.2 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través del parámetro project_url
El tema Infinite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘project_url’ en todas las versiones hasta, e incluyendo, la 1.1.2 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas…