Ultimas Noticias
-
Custom CSS, JS & PHP <= 2.3.0 – Cross-Site Scripting Reflejado
El plugin Custom CSS, JS & PHP para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg & remove_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.3.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran…
-
Vulnerabilidad de Cross-Site Scripting en Chessgame Shizzle <= 1.3.0
El plugin Chessgame Shizzle para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘cs_nonce’ en todas las versiones hasta, e incluyendo, la 1.3.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Divulgación de Ruta Completa de Archivo en Wp Maximum Upload File Size <= 1.1.3 – Autenticado (Autor+) – CVE-2024-11265
El plugin Increase Maximum Upload File Size | Increase Execution Time para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 1.1.3. Esto se debe a que devuelve mensajes de error de carga de imágenes con información de la ruta completa. Esto permite a atacantes autenticados, con…
-
AutoListicle: Actualización Automática de Artículos con Listas Numeradas <= 1.2.3 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin AutoListicle: Actualización Automática de Artículos con Listas Numeradas para WordPress, hasta la versión 1.2.3, permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin AutoListicle es vulnerable a Cross-Site Scripting almacenado debido a…
-
WP Travel Engine <= 6.2.1 – Falta de Autorización para la Actualización de Configuraciones del Plugin por Usuarios Autenticados (Contribuidores+)
El plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función wpte_onboard_save_function_callback() en todas las versiones hasta, e incluyendo, la 6.2.1. Esto permite que atacantes autenticados, con acceso de nivel…
-
Formularios compatibles con HIPAA con creador de formularios HIPAA Drag’n’Drop. Firmar documentos HIPAA <= 1.3.4 – Autenticado (Contribuidor+) Almacenado Cross-Site Scripting
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin ‘HIPAA Compliant Forms with Drag’n’Drop HIPAA Form Builder. Sign HIPAA documents’ para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables. El plugin ‘HIPAA Compliant Forms with Drag’n’Drop HIPAA Form Builder. Sign HIPAA documents’ para WordPress es vulnerable a Cross-Site Scripting almacenado a…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Easy Liveblogs <= 2.3.5 para usuarios autenticados (Contributor+)
El plugin Easy Liveblogs para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘elb_liveblog’ del plugin en todas las versiones hasta, e incluyendo, 2.3.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior,…