Ultimas Noticias
-
WS Form LITE – Constructor de Formularios de Contacto para WordPress <= 1.9.244 – XSS Reflejado a través de URL
El plugin WS Form LITE – Constructor de Formularios de Contacto para WordPress es vulnerable a XSS Reflejado debido a la falta de escape en la URL en todas las versiones hasta, e incluyendo, la 1.9.244. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a…
-
Vulnerabilidad en Everest Backup – WordPress Cloud Backup Plugin
La vulnerabilidad CVE-2024-10028 afecta al plugin Everest Backup – WordPress Cloud Backup, Migration, Restore & Cloning Plugin, permitiendo la exposición de información sensible durante el proceso de respaldo del sitio web. El plugin Everest Backup – WordPress Cloud Backup, Migration, Restore & Cloning Plugin hasta la versión 2.2.13 es propenso a exponer información sensible a…
-
Contact Form 7 – Extensión de Texto Dinámico <= 4.5 – Divulgación de Información a través de Shortcode
El plugin Contact Form 7 – Dynamic Text Extension para WordPress es vulnerable a la Divulgación Básica de Información en todas sus versiones hasta la 4.5 a través del shortcode CF7_get_post_var. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, puedan extraer los títulos y contenidos de texto de publicaciones privadas…
-
Exposición de Información Sensible en Ultimate Bootstrap Elements for Elementor <= 1.4.6 – Autenticado (Contribuidor+) Vulnerabilidad de Divulgación de Información Sensible
El plugin Ultimate Bootstrap Elements for Elementor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.4.6 a través de la función ‘ube_get_page_templates’. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, extraer datos sensibles incluyendo el contenido de plantillas que son privadas.…
-
Tickera – WordPress Event Ticketing <= 3.5.4.4 – Ejecución de código de shortcode arbitrario no autenticado
El plugin Tickera – WordPress Event Ticketing para WordPress es vulnerable a la ejecución de código de shortcode arbitrario en todas las versiones hasta, e incluyendo, la 3.5.4.4. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible…
-
Vulnerabilidad de Cross-Site Scripting en XT Floating Cart for WooCommerce <= 2.8.2
La vulnerabilidad CVE-2024-9178 afecta al plugin XT Floating Cart for WooCommerce en su versión 2.8.2 y anteriores, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting (XSS) a través de la carga de archivos SVG. La falta de sanitización de entrada y escape de salida en el plugin XT Floating Cart for WooCommerce permite a…
-
Vulnerabilidad de Divulgación de Información Sensible en el Plugin 140+ Widgets | Xpro Addons For Elementor – FREE <= 1.4.6
El plugin 140+ Widgets | Xpro Addons For Elementor – FREE para WordPress presenta una vulnerabilidad que expone información sensible a actores no autorizados. La vulnerabilidad de divulgación de información sensible se encuentra en todas las versiones del plugin hasta, e incluyendo, la versión 1.4.6 a través de la función de renderizado en widgets/content-toggle/layout/frontend.php. Esto…