Ultimas Noticias
-
Getwid – Gutenberg Blocks <= 2.0.12 – Cross-Site Scripting (XSS) Almacenado autenticado (Contribuyente+)
Introducción no proporcionada Para mitigar este riesgo, se recomienda actualizar el plugin Getwid – Gutenberg Blocks a la última versión disponible. Además, se puede restringir las capacidades de los usuarios, limitando la cantidad de usuarios con roles de Contribuyente y superior, o implementar un filtro de contenido para evitar la ejecución de scripts maliciosos. Es…
-
Plugin Save as PDF by Pdfcrowd <= 4.2.1 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Save as PDF by Pdfcrowd para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Save as PDF by Pdfcrowd para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘save_as_pdf_pdfcrowd’ del plugin en todas las versiones hasta,…
-
MStore API <= 4.15.7 – Inyección de SQL Autenticada (Suscriptor+)
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘status_type’ en todas las versiones hasta, e incluyendo, la 4.15.7 debido a un escape insuficiente en el parámetro provisto por el usuario y falta de preparación suficiente en la…
-
Vulnerabilidad en Yaad Sarig Payment Gateway For WC <= 2.2.4 – Falta de Autorización para Lectura/Borrado de Logs por Usuarios Autenticados (Suscriptores+)
El plugin Yaad Sarig Payment Gateway For WC para WordPress es vulnerable a la modificación y acceso no autorizado de datos debido a la falta de verificación de capacidades en las funciones yaadpay_view_log_callback() y yaadpay_delete_log_callback() en todas las versiones hasta, e incluyendo, la 2.2.4. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y…
-
ProfileGrid – Perfiles de Usuario, Grupos y Comunidades <= 5.9.3.6 – Falta de Autorización para Eliminación Arbitraria de Metadatos de Usuario
El plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función pm_remove_file_attachment() en todas las versiones hasta, e incluyendo, 5.9.3.6. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminar…
-
Vulnerabilidad de Cross-Site Scripting en MailChimp Forms by MailMunch <= 3.2.3
La vulnerabilidad CVE-2024-8726 afecta al plugin de WordPress MailChimp Forms by MailMunch, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La causa de esta vulnerabilidad radica en el uso de add_query_arg sin un escape adecuado…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Booster for WooCommerce <= 7.2.3
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Booster for WooCommerce para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. Esta vulnerabilidad, identificada como CVE-2024-9239, permite a atacantes no autenticados inyectar scripts web arbitrarios en las páginas y ejecutarlos si logran engañar a un usuario para que realice una…