Ultimas Noticias
-
PDF Viewer for Elementor <= 2.9.3 – XSS almacenado autenticado (Contributor+) a través del renderizado
El plugin PDF Viewer for Elementor para WordPress es vulnerable a XSS almacenado a través de la función de renderizado en todas las versiones hasta, e incluyendo, la 2.9.3 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Stratum – Elementor Widgets <= 1.4.1
El plugin Stratum – Elementor Widgets para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting (XSS) almacenada a través del atributo ‘label_years’ dentro del widget de Countdown en todas las versiones hasta, e incluyendo, la 1.4.1 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad en Infographic Maker iList <= 4.7.4 – Actualización de Títulos Arbitrarios sin Autorización
La vulnerabilidad de falta de autorización en el plugin AI Infographic Maker para WordPress, hasta la versión 4.7.4, permite a atacantes autenticados con acceso de Suscriptor o superior, actualizar títulos de publicaciones de forma arbitraria. La falta de una verificación de capacidades en la acción AJAX qcld_openai_title_generate_desc del plugin AI Infographic Maker para WordPress, permite…
-
Shariff Wrapper <= 4.6.13 – Cross-Site Scripting Almacenado Autenticado (Colaborador+) a través de Shortcode
El plugin Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘shariff’ en todas las versiones hasta, e incluyendo, la 4.6.13 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario como ‘borderradius’ y ‘timestamp’. Esto permite que atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Collapse-O-Matic <= 1.8.5.8
La vulnerabilidad CVE-2024-4095 en el plugin Collapse-O-Matic para WordPress permite a atacantes autenticados (nivel de contribuidor o superior) ejecutar Cross-Site Scripting almacenado a través del shortcode ‘expand’ y ‘expandsub’. El plugin Collapse-O-Matic para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ‘expand’ y ‘expandsub’ en todas las versiones hasta, e incluyendo,…
-
Galería de Videos – Lista de Reproducción de YouTube, Galería de Canales por YotuWP <= 1.3.13 – Inclusión Arbitraria de Archivos Autenticada (Contributor+)
La vulnerabilidad CVE-2024-4551 afecta al plugin Video Gallery – YouTube Playlist, Channel Gallery by YotuWP para WordPress, permitiendo a atacantes autenticados con acceso de contribuidor o superior incluir y ejecutar archivos PHP arbitrarios en el servidor a través de la función de visualización. La falta de control adecuado del nombre de archivo para las declaraciones…
-
Video Gallery – YouTube Playlist, Channel Gallery by YotuWP <= 1.3.13 – Inclusión de Archivos Locales no Autenticada
La vulnerabilidad de Inclusión de Archivos Locales en el plugin Video Gallery – YouTube Playlist, Channel Gallery by YotuWP para WordPress, en versiones hasta la 1.3.13 a través del parámetro de configuración, permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que posibilita la ejecución de código PHP en esos…