Ultimas Noticias
-
Vulnerabilidad en WP User Manager permite la adición/remoción de barras laterales personalizadas de Carbon Fields sin autorización
La vulnerabilidad CVE-2024-10216 encontrada en el plugin WP User Manager – User Profile Builder & Membership para WordPress permite la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en las funciones ‘add_sidebar’ y ‘remove_sidebar’ en todas las versiones hasta, e incluyendo, la 2.9.11. Esto posibilita a atacantes autenticados, con…
-
DeBounce Email Validator <= 5.6.5 – Cross-Site Scripting Reflejado
El plugin DeBounce Email Validator para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros ‘from’, ‘to’ y ‘key’ en todas las versiones hasta, e incluyendo, la 5.6.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que…
-
Control horas <= 1.0.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Control horas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘ch_registro’ del plugin en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…
-
MailMunch – Crecer tu lista de Email <= 3.1.8 – Reflected Cross-Site Scripting
El plugin de WordPress MailMunch – Crecer tu lista de Email es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 3.1.8. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a…
-
Vulnerabilidad de autorización en plugin Ultimate YouTube Video & Shorts Player With Vimeo <= 3.3
El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta una vulnerabilidad de autorización que permite a usuarios autenticados, con nivel de suscriptor o superior, acceder a ajustes de listas de reproducción. La vulnerabilidad CVE-2024-11355 reside en la falta de comprobación de capacidades en la función get_setting() de todas las versiones del…
-
Vulnerabilidad en plugin Easy Twitter Feed para WordPress <= 1.2.6 – Exposición de Publicaciones Autorizadas (Contributor+)
La vulnerabilidad CVE-2024-10666 en el plugin Easy Twitter Feed – Twitter feeds para WordPress permite a atacantes autenticados con nivel de acceso Contributor o superior acceder a información de publicaciones protegidas por contraseña, privadas o en borrador. La vulnerabilidad de autorización en el plugin Easy Twitter Feed – Twitter feeds para WordPress, en todas las…
-
Paquetes Premium – Vende Productos Digitales de Forma Segura <= 5.9.3 – XSS Reflejado a través de add_query_arg
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Premium Packages – Sell Digital Products Securely para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. La versión vulnerable de este plugin es la 5.9.3…