Ultimas Noticias
-
DethemeKit For Elementor <= 2.1.5 – XSS Almacenado Autenticado (Contributor+) a través del Parámetro de URL del Widget De Galería
El plugin DethemeKit For Elementor para WordPress es vulnerable a XSS almacenado a través del parámetro de URL del widget De Galería en todas las versiones hasta la 2.1.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor…
-
Elementor Addon Elements <= 1.13.5 – Cross-Site Scripting Almacenado (Autenticado como Contribuidor+)
El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, la 1.13.5 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite a atacantes autenticados, con permisos de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que…
-
Elementor Addon Elements <= 1.13.5 – Cross-Site Scripting mediante usuario autenticado (Contributor+)
El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, la 1.13.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel colaborador y superiores, inyectar scripts web arbitrarios en páginas que…
-
Vulnerabilidad de Subida de Archivos Arbitrarios en Auto Featured Image <= 1.2
La vulnerabilidad CVE-2024-6054 presenta un riesgo de subida de archivos arbitrarios en el plugin Auto Featured Image para WordPress, la cual permite a atacantes autenticados, con permisos de nivel contribuyente o superior, subir archivos arbitrarios al servidor del sitio afectado, lo que puede llevar a una posible ejecución remota de código. El plugin Auto Featured…
-
Bloques de Gutenberg con AI por Kadence WP – Funciones del Constructor de Páginas <= 3.2.42 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) en el Widget de Google Maps
La vulnerabilidad CVE-2024-5289 afecta al plugin Gutenberg Blocks with AI por Kadence WP – Page Builder Features en versiones hasta 3.2.42, permitiendo a atacantes autenticados con nivel de acceso de Contribuidor o superior realizar Cross-Site Scripting almacenado a través de los parámetros del widget de Google Maps. La falta de saneamiento de entradas y escape…
-
HT Mega – Absolute Addons For Elementor <= 2.5.5 – Cross-Site Scripting a través de Widgets Almacenados con Autenticación (Contributor+)
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de múltiples widgets en todas las versiones hasta, e incluyendo, la 2.5.5 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos suministrados por el usuario. Esto permite a atacantes…
-
WordPress Core < 6.5.5 – Traversal de Directorios Autenticado (Contributor+)
En este informe se detalla la vulnerabilidad de Traversal de Directorios en WordPress Core hasta la versión 6.5.5 a través del bloque de Template Part. Esto permite a atacantes autenticados, con nivel de acceso de Contributor o superior, incluir archivos HTML arbitrarios en sitios que se ejecutan en Windows. La vulnerabilidad CVE-2024-32111 en WordPress Core…