Ultimas Noticias
-
Vulnerabilidad de Inyección CSV en Business Directory Plugin <= 6.4.3 – Autenticado (Autor+)
La vulnerabilidad CVE-2023-5527, conocida como ‘Improper Neutralization of Formula Elements in a CSV File’, afecta a la versión 6.4.3 y anteriores del plugin Business Directory para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de autor o superiores, incrustar entradas no confiables en archivos CSV exportados por administradores, lo que podría resultar en la…
-
Divi <= 4.25.1 – Cross-Site Scripting almacenado autenticado (Contributor+)
El tema Divi para WordPress es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, la 4.25.1 debido a una validación inadecuada de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de XSS almacenado en MaxGalleria <= 6.4.4 a través de maxgallery_thumb Shortcode
La vulnerabilidad CVE-2024-5970 en el plugin MaxGalleria para WordPress permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. El plugin MaxGalleria versiones hasta la 6.4.4 son vulnerables a Cross-Site Scripting almacenado debido a una insuficiente sanitización de…
-
Tickera <= 3.5.2.8 – Falta de Autorización para Eliminar Tickets de suscriptores+
La vulnerabilidad CVE-2024-5860 denominada ‘Falta de Autorización’, afecta al plugin Tickera – WordPress Event Ticketing para WordPress. Esta vulnerabilidad permite la pérdida no autorizada de datos debido a la falta de comprobación de capacidad en la acción AJAX tc_dl_delete_tickets en todas las versiones hasta, e incluyendo, la 3.5.2.8. Esto posibilita que atacantes autenticados, con acceso…
-
Vulnerabilidad en Ibtana – WordPress Website Builder <= 1.2.3.3 – Actualización de Configuración de reCAPTCHA sin Autenticación
El plugin Ibtana – WordPress Website Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘ibtana_visual_editor_register_ajax_json_endpont’ en todas las versiones hasta, e incluyendo, la 1.2.3.3. Esto permite a atacantes no autenticados actualizar valores de opciones para claves de reCAPTCHA en el…
-
Plugin de programación – Reserva en línea para WordPress <= 3.5.10 – Falta de autorización para desconexión de servicio no autenticada
El plugin de programación – Reserva en línea para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidad en la función ‘cbsb_disconnect_settings’ en todas las versiones hasta, e incluyendo, la 3.5.10. Esto permite que atacantes no autenticados desconecten el plugin del servicio startbooking y eliminen los…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Master Slider – Responsive Touch Slider <= 3.9.10
La vulnerabilidad CVE-2024-4375 en el plugin Master Slider – Responsive Touch Slider para WordPress permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad reside en el shortcode ‘ms_layer’ del plugin, donde el atributo ‘css_id’…