Ultimas Noticias
-
Sellsy <= 2.3.3 – Cross-Site Scripting almacenado con autenticación (Colaborador+)
El plugin Sellsy para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘testSellsy’ en todas las versiones hasta la 2.3.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador y superior, inyectar scripts web arbitrarios…
-
WordPress Survey & Poll – Plugin de Encuestas y Votaciones para WordPress <= 1.7.5 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin WordPress Survey & Poll – Quiz, Survey and Poll Plugin for WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpsurveypoll_results’ en todas las versiones hasta, e incluyendo, la 1.7.5 debido a una sanitización insuficiente de la entrada y falta de escape en la salida de atributos proporcionados por el usuario.…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Sell Media <= 2.5.8.5
La vulnerabilidad CVE-2024-11777 afecta al plugin Sell Media para WordPress y permite a atacantes con acceso de nivel contribuidor o superior inyectar scripts web maliciosos en páginas vulnerables. La vulnerabilidad de Cross-Site Scripting almacenado en Sell Media <= 2.5.8.5 se debe a la falta de sanitización de entrada y escapado de salida en los atributos…
-
ClickDesigns <= 1.8.0 – Falta de Autorización para Modificación o Eliminación de Clave API
El plugin ClickDesigns para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en las funciones ‘clickdesigns_add_api’ y ‘clickdesigns_remove_api’ en todas las versiones hasta, e incluyendo, la 1.8.0. Esto permite que atacantes no autenticados modifiquen o eliminen la clave API del plugin. Los usuarios afectados…
-
Transporters.io <= 2.0.84 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin Transporters.io para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.84. Esto se debe a la falta de validación de nonce en una función. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada siempre y cuando puedan engañar…
-
LDD Directory Lite <= 3.3 – Cross-Site Scripting Reflejado a través del parámetro remove_query_arg
El plugin LDD Directory Lite para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de remove_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 3.3. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecuten si logran engañar a un…
-
Divulgación de publicaciones por duplicación en Duplicate Post, Page and Any Custom Post <= 3.5.3 – Divulgación de publicaciones autenticada (Contributor+)
Se ha identificado una vulnerabilidad en el plugin Duplicate Post, Page and Any Custom Post para WordPress que permite la divulgación de información sensible a actores no autorizados a través de la función ‘dpp_duplicate_as_draft’. Esto posibilita a atacantes autenticados, con acceso de nivel Contributor y superior, extraer datos potencialmente sensibles de publicaciones en estado de…