Ultimas Noticias
-
Themify – WooCommerce Product Filter <= 1.4.9 – Inyección de SQL no autenticada a través del parámetro de condiciones
La vulnerabilidad de inyección de SQL del plugin Themify – WooCommerce Product Filter para WordPress permite a atacantes no autenticados realizar inyecciones de SQL basadas en el tiempo a través del parámetro ‘condiciones’ en todas las versiones hasta, e incluyendo, la 1.4.9 debido a un escape insuficiente en el parámetro proporcionado por el usuario y…
-
Vulnerabilidad de Cross-Site Scripting en Plugin de Reserva de Citas y Programación en Línea
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin de WordPress Online Booking & Scheduling Calendar by vcita hasta la versión 4.4.2 permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. La vulnerabilidad CVE-2024-5859 se debe a…
-
Amelia <= 1.1.5 & Amelia (Pro) <= 7.5.1 – Cross-Site Scripting de Almacenamiento Autenticado (Admin+)
El complemento Booking for Appointments and Events Calendar – Amelia para WordPress es vulnerable a Cross-Site Scripting de Almacenamiento a través de la configuración de administración en todas las versiones hasta, e incluyendo, 1.1.5 (y 7.5.1 para la versión Pro) debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite…
-
Vulnerabilidad en User Profile Picture <= 2.6.1 permite Referencia de Objeto Directo Inseguro para Actualizar Foto de Perfil
La vulnerabilidad en el plugin User Profile Picture para WordPress permite a atacantes autenticados, con acceso de Autor o superior, actualizar la foto de perfil de cualquier usuario a través de un fallo de Referencia de Objeto Directo Inseguro. El plugin User Profile Picture para WordPress es vulnerable a Referencia de Objeto Directo Inseguro en…
-
Vulnerabilidad de XSS almacenado en WP SVG Images <= 4.2
La vulnerabilidad CVE-2024-5945 afecta al plugin WP SVG Images para WordPress y permite a atacantes autenticados realizar XSS almacenado a través del parámetro ‘type’ en todas las versiones hasta la 4.2 debido a una insuficiente sanitización de la entrada. Esto permite a atacantes autenticados con permisos de Autor y superiores, que tienen la capacidad de…
-
Vulnerabilidad de Cross-Site Scripting en el plugin Branda – White Label WordPress
En este reporte se expone una vulnerabilidad de Cross-Site Scripting en el plugin Branda – White Label WordPress, Custom Login Page Customizer versiones hasta 3.4.17. Esta vulnerabilidad permite a atacantes autenticados con nivel de Autor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada. La…
-
Icegram Express – Vulnerabilidad de Inyección SQL no autenticada a través de la configuración de optin
La vulnerabilidad CVE-2024-5756 afecta al plugin de WordPress Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce en su versión 5.7.23 y anteriores, permitiendo a atacantes no autenticados llevar a cabo una inyección SQL basada en el tiempo a través del parámetro db. La falta de un escape adecuado en…