Ultimas Noticias
-
pdf.js < 2.0.943 – Cross-Site Scripting Almacenado Autenticado (Autor+)
La vulnerabilidad CVE-2018-5158 en el plugin Algori PDF Viewer para WordPress permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en las páginas, lo cual puede ser peligroso para los usuarios del sitio. La vulnerabilidad reside en la versión vulnerable de pdf.js utilizada en el plugin, hasta la versión 1.0.7.…
-
Vulnerabilidad de Cross-Site Scripting en Cowidgets – Elementor Addons
El plugin Cowidgets – Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.2.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y…
-
Vulnerabilidad en Cowidgets – Elementor Addons <= 1.2.0 – Divulgación de publicaciones autenticadas (Contributor+)
El plugin Cowidgets – Elementor Addons para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, la 1.2.0 a través del shortcode ‘ce_template’ debido a restricciones insuficientes sobre qué publicaciones pueden ser incluidas. Esto permite a atacantes autenticados, con acceso de nivel Contribuyente y superior, extraer datos de publicaciones…
-
Debug Tool <= 2.2 – Falta de Autorización para Exposición de Información
El plugin Debug Tool para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidad en la función info() en todas las versiones hasta, e incluyendo, la 2.2. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, obtengan información de phpinfo(). Cuando WP_DEBUG está…
-
Herramienta de Depuración <= 2.2 – Creación Arbitraria de Archivos sin Autenticación
La vulnerabilidad CVE-2024-10586 en la herramienta Debug Tool para WordPress permite a atacantes no autenticados crear archivos arbitrarios en el sistema, lo que puede resultar en la ejecución remota de código. La falta de autorización en la función dbt_pull_image() y la ausencia de validación de tipo de archivo en todas las versiones hasta la 2.2…
-
Anih – Creative Agency WordPress Theme <= 2024 – Cross-Site Scripting (XSS) Almacenado Autenticado (Administrador+)
El tema de WordPress Anih – Creative Agency WordPress Theme es vulnerable a Cross-Site Scripting (XSS) almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 2024 debido a una lista negra incompleta, insuficiente saneamiento de la entrada y escapado de salida. Esto permite que atacantes autenticados, con permisos de…
-
Vulnerabilidad de Cross-Site Scripting en Elementor Header & Footer Builder <= 1.6.45
La vulnerabilidad CVE-2024-10325 afecta al plugin de Elementor Header & Footer Builder para WordPress en sus versiones hasta 1.6.45, permitiendo a atacantes autenticados con nivel de autor o superior llevar a cabo ataques de Cross-Site Scripting almacenado a través de la carga de archivos SVG. El plugin de Elementor Header & Footer Builder para WordPress…