Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en PowerPack Addons for Elementor (Free Widgets, Extensions and Templates)
La vulnerabilidad CVE-2024-5787 afecta al plugin PowerPack Addons for Elementor de WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting a través del widget Link Effects en versiones hasta la 2.7.20. La vulnerabilidad radica en la falta de saneamiento de entradas y escapes de salida en el atributo ‘url’ del widget Link Effects del plugin. Esto…
-
Elementor Header & Footer Builder <= 1.6.35 – Cross-Site Scripting a través del widget Título del Sitio
La vulnerabilidad CVE-2024-5757 afecta al plugin Elementor Header & Footer Builder para WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting a través del atributo URL del widget Título del Sitio en todas las versiones hasta la 1.6.35. La falta de sanitización de entrada y escape de salida dentro del plugin Elementor Header & Footer Builder…
-
Divi Torque Lite – Divi Theme and Extra Theme <= 3.6.6 – Cross-Site Scripting mediante carga de SVG autenticada (Autor+)
El plugin Divi Torque Lite – Divi Theme and Extra Theme para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función ‘support_unfiltered_files_upload’ en todas las versiones hasta, e incluyendo, la 3.6.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel…
-
Gestor de Descargas <= 3.2.86 – Cross-Site Scripting Almacenado Autenticado (Suscriptor+)
El plugin de Gestor de Descargas para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de visualización de un usuario en todas las versiones hasta, e incluyendo, la 3.2.86 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel suscriptor…
-
Events Manager – Calendar, Reservas, Entradas y más! <= 6.4.7.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de shortcodes de evento, ubicación y categoría de evento
El plugin Events Manager – Calendar, Reservas, Entradas y más! para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ‘evento’, ‘ubicación’ y ‘categoría de evento’ en todas las versiones hasta, e incluyendo, la 6.4.7.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.…
-
Vulnerabilidad en InstaWP Connect – Posible Creación de Usuarios Administrativos sin Autorización
La vulnerabilidad de ‘Missing Authorization’ en el plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress permite a atacantes no autenticados conectarse al sitio a través de la API de InstaWP, editar opciones del sitio de forma arbitraria y crear cuentas de administrador. El plugin InstaWP Connect – 1-click WP Staging & Migration…
-
Newsletter – Vulnerabilidad de Gestión de Suscriptores sin Autorización en API v1 y v2 para Newsletter <= 2.4.5
La extensión de Newsletter – API v1 y v2 para WordPress es vulnerable a la gestión no autorizada de suscriptores debido a un problema de juggling de tipos de PHP en la función check_api_key en todas las versiones hasta, e incluyendo, la 2.4.5. Esto permite que atacantes no autenticados puedan listar, crear o eliminar suscriptores…