Ultimas Noticias
-
Vulnerabilidad de Missing Authorization en plugin Ultimate YouTube Video & Shorts Player With Vimeo <= 3.3
El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta un fallo de seguridad que permite a usuarios autenticados con nivel de acceso de Suscriptor o superior, borrar listas de reproducción de forma no autorizada. La vulnerabilidad reside en la función del_ytsingvid() del plugin, la cual no realiza una verificación adecuada de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Subaccounts for WooCommerce <= 1.6.0
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Subaccounts for WooCommerce para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. La versión 1.6.0 del plugin Subaccounts for WooCommerce para WordPress, y todas las…
-
Widgets de Crypto y DeFi – Vulnerabilidad de Cross-Site Scripting en Web3 Cryptocurrency Shortcodes <= 1.1.6
La vulnerabilidad de Cross-Site Scripting en el plugin de WordPress Crypto and DeFi Widgets – Web3 Cryptocurrency Shortcodes permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad CVE-2024-11365 se debe a una neutralización inapropiada…
-
Page Parts <= 1.4.3 – Cross-Site Scripting Reflejado
El plugin Page Parts para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de remove_query_arg sin un escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.4.3. Esto hace posible que atacantes no autenticados puedan inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
Vulnerabilidad en el plugin Lock User Account <= 1.0.5 – Bypass de Bloqueo de Usuario
El plugin Lock User Account para WordPress es vulnerable a un bypass de bloqueo de usuario en todas las versiones hasta, e incluyendo, la 1.0.5. Esto se debe a que permite iniciar sesión con contraseñas de aplicación cuando las cuentas de usuario están bloqueadas. Esto hace posible que atacantes autenticados, con contraseñas de aplicación existentes,…
-
Vulnerabilidad de Co-marquage service-public.fr <= 0.5.76 – Cross-Site Scripting reflejado a través del parámetro add_query_arg
El plugin de Co-marquage service-public.fr para WordPress es vulnerable a Cross-Site Scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 0.5.76. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarían si logran engañar con éxito a…
-
Paquetes Premium – Vende Productos Digitales de forma Segura <= 5.9.3 – Scripting entre Sitios Almacenado Autenticado (Contributor+) a través del Shortcode wpdmpp_pay_link
La vulnerabilidad CVE-2024-10164 afecta al plugin Premium Packages – Sell Digital Products Securely para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web maliciosos en las páginas del sitio. El plugin Premium Packages – Sell Digital Products Securely en versiones anteriores a la 5.9.3 no realiza una sanitización adecuada de…