Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en ElementsKit Elementor addons and Templates Library <= 3.6.2
La vulnerabilidad CVE-2024-5263, que consiste en Cross-Site Scripting almacenado, afecta al plugin ElementsKit Pro para WordPress en su versión 3.6.2 y anteriores. Esto permite a atacantes autenticados con niveles de acceso de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. Para subsanar esta vulnerabilidad,…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Jeg Elementor Kit <= 2.6.5
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Jeg Elementor Kit para WordPress puede ser explotada por atacantes autenticados con nivel de Contributor o superior. Esto permite la inyección de scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página afectada. La vulnerabilidad radica en la falta de saneamiento…
-
Vulnerabilidad de XSS Almacenado en WP Go Maps (anteriormente WP Google Maps) <= 9.0.38 – Autenticado (Contribuidor+)
El plugin WP Go Maps (anteriormente WP Google Maps) para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la opción Custom JS en versiones hasta, e incluyendo, la 9.0.38. Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un…
-
Vulnerabilidad en LatePoint Plugin <= 4.9.9 – Falta de Autorización y Exposición de Información Sensible a través de IDOR
El plugin LatePoint para WordPress es vulnerable a accesos no autorizados a datos y modificaciones de datos debido a la falta de una verificación de capacidades en la función ‘start_or_use_session_for_customer’ en todas las versiones hasta la 4.9.9. Esto permite a atacantes no autenticados ver los gabinetes de otros clientes, incluyendo la posibilidad de ver información…
-
Vulnerabilidad de Inclusión de Archivos Remotos no Autenticada en Where I Was, Where I Will Be <= 1.1.1
La vulnerabilidad de Inclusión de Archivos Remotos en el plugin Where I Was, Where I Will Be para WordPress en la versión <= 1.1.1 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios alojados en servidores externos, lo que puede conducir a la ejecución de código malicioso. El plugin Where I Was, Where I…
-
Vulnerabilidad de Cross-Site Scripting en Gutenberg Blocks by Kadence Blocks
El plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘titleFont’ en todas las versiones hasta, e incluyendo, la 3.2.38 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con nivel de acceso…
-
Vulnerabilidad Cross-Site Request Forgery en WP STAGING PRO – Backup Duplicator & Migration <= 5.6.0
El plugin de respaldo WP STAGING Pro para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 5.6.0. Esta vulnerabilidad se debe a la falta de validación de nonce en el parámetro ‘sub’ llamado desde el plugin de respaldo WP STAGING – Backup Duplicator & Migration. Esto permite que…