Ultimas Noticias
-
3D FlipBook, PDF Viewer, PDF Embedder – Vulnerabilidad de Subida de Archivos en WordPress Plugin <= 4.6 – Subida de Archivos Arbitrarios (Autor+)
El plugin de WordPress 3D FlipBook, PDF Viewer, PDF Embedder – Real 3D FlipBook es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipos de archivo en la función ‘r3dfb_save_thumbnail_callback’ en todas las versiones hasta, e incluyendo, la 4.6. Esto permite que atacantes autenticados, con acceso de nivel Autor…
-
WP Video Robot <= 1.20.0 – Escalada de Privilegios Autenticada (Suscriptor+) a través de la Actualización de Metadatos de Usuario
El plugin WordPress Video Robot – The Ultimate Video Importer es vulnerable a una escalada de privilegios debido a una validación insuficiente en los metadatos de usuario que pueden ser actualizados en la función wpvr_rate_request_result() en todas las versiones hasta, e incluyendo, la 1.20.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y…
-
Uix Slideshow <= 1.6.5 – Ejecución de Shortcode Arbitrario sin Autenticación
El plugin Uix Slideshow para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 1.6.5. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten…
-
Vulnerabilidad de Reflected Cross-Site Scripting en SimpleForm Contact Form Submissions <= 2.1.0
El plugin SimpleForm Contact Form Submissions para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg & remove_query_arg sin el escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Vulnerabilidad de Cross-Site Request Forgery en EleForms para Elementor
El plugin EleForms – All In One Form Integration incluyendo DB para Elementor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.9.9.9. Esto se debe a la falta o validación incorrecta de nonce al eliminar envíos de formularios. Esto permite que atacantes no autenticados eliminen envíos de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en PeproDev WooCommerce Receipt Uploader <= 2.6.9
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin PeproDev WooCommerce Receipt Uploader para WordPress se debe a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.6.9. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
Exclusivo Divi – Divi Preloader, Módulos para Divi & Extra Theme <= 1.4 – Cross-Site Scripting almacenado autenticado (Autor+) a través de carga de archivo SVG
La vulnerabilidad CVE-2024-9386 afecta al plugin Exclusive Divi – Divi Preloader, Módulos para Divi & Extra Theme para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas a través de carga de archivos SVG. La falta de sanitización de entrada y escape de salida en las versiones del plugin hasta la 1.4 hace posible…