Ultimas Noticias
-
Vulnerabilidad de Bypass de Autenticación en Social Login <= 5.9.0
El plugin Social Login para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 5.9.0. Esto se debe a una verificación insuficiente en el usuario devuelto por el token de inicio de sesión social. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Tribute Testimonials – WordPress Testimonial Grid/Slider <= 1.0.4 para usuarios autenticados (Contributor+)
El plugin Tribute Testimonials – WordPress Testimonial Grid/Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tribute_testimonials_slider’ en todas las versiones hasta, e incluyendo, la 1.0.4 debido a una sanitización insuficiente de la entrada y a la falta de escape en la salida de los atributos suministrados por el usuario. Esto…
-
Enter Addons – Ultimate Template Builder for Elementor <= 2.1.9 – Divulgación de Post Autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-10868 en el plugin Enter Addons – Ultimate Template Builder for Elementor permite a usuarios autenticados de nivel Contributor y superior acceder a información de posts privados o en borrador creados por Elementor. El plugin Enter Addons – Ultimate Template Builder for Elementor en su versión 2.1.9 y anteriores es vulnerable a la…
-
Protección contra Fuerza Bruta de GuardGiant <= 2.2.6 – Cross-Site Scripting Reflejado
El plugin WordPress Brute Force Protection – Stop Brute Force Attacks es vulnerable a Cross-Site Scripting Reflejado debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.2.6. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Quotes Llama <= 3.0.0 para WordPress
El plugin Quotes Llama para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘quotes-llama’ en todas las versiones hasta, e incluyendo, la 3.0.0 debido a la insuficiente sanitización de entradas y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y…
-
Exposición de Información en Product Table for WooCommerce (wooproducttable.com)
El plugin Product Table for WooCommerce by CodeAstrology (wooproducttable.com) para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 3.5.1 a través del parámetro var_dump_table. Esto permite a atacantes no autenticados var data. La falta de autorización en el plugin Product Table for WooCommerce by CodeAstrology (wooproducttable.com)…
-
WPDash Notes <= 1.3.5 – Falta de Autorización para la Exposición de Información Sensible (Suscriptor+)
El plugin WPDash Notes para WordPress es vulnerable a un acceso no autorizado a los datos debido a la falta de una comprobación de capacidades en la función ‘wp_ajax_post_it_list_comment’ en todas las versiones hasta, e incluyendo, la 1.3.5. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan ver comentarios en…