Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Cowidgets – Elementor Addons <= 1.1.1 a través del parámetro heading_tag (Con usuario autenticado de nivel Contributor+)
La vulnerabilidad CVE-2024-4697 identificada en el plugin Cowidgets – Elementor Addons para WordPress permite a atacantes autenticados de nivel contributor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página. El plugin Cowidgets – Elementor Addons hasta la versión 1.1.1 es vulnerable a Cross-Site Scripting (XSS) almacenado…
-
Vulnerabilidad en Claudio Sanches – Checkout Cielo para WooCommerce <= 1.1.0 – Verificación Insuficiente de la Autenticidad de los Datos para Actualización del Estado de Pago del Pedido
La vulnerabilidad CVE-2024-1718 afecta al plugin Claudio Sanches – Checkout Cielo para WooCommerce en versiones hasta 1.1.0. Esta vulnerabilidad permite a atacantes no autenticados actualizar el estado de los pedidos a pagados sin necesidad de realizar el pago correspondiente. La función update_order_status() en el plugin Claudio Sanches – Checkout Cielo para WooCommerce no verifica adecuadamente…
-
WP-DB-Table-Editor <= 1.8.4 – Falta de Autorización para Acceso a Bases de Datos Autenticado (Contribuidor+)
El plugin WP-DB-Table-Editor para WordPress es vulnerable a accesos no autorizados a datos, modificación de datos y pérdida de datos debido a la falta de un requisito de capacidad predeterminado en la función ‘dbte_render’ en todas las versiones hasta, e incluyendo, la 1.8.4. Esto permite que atacantes autenticados, con acceso de contribuidor y superior, modifiquen…
-
Páginas de Enlaces Sociales: páginas de destino de enlace en la biografía para tus perfiles en redes sociales <= 1.6.9 – Autorización Ausente para la Creación de Páginas Arbitrarias y Cross-Site Scripting
El plugin Social Link Pages: link-in-bio landing pages for your social media profiles para WordPress es vulnerable a accesos no autorizados debido a la falta de comprobación de capacidades en la función import_link_pages() en todas las versiones hasta, e incluyendo, la 1.6.9. Esto hace posible que atacantes no autenticados inyecten páginas arbitrarias y scripts web…
-
Nafeza Prayer Time <= 1.2.9 – Cross-Site Scripting almacenado autenticado (Administrador+)
La vulnerabilidad CVE-2024-4462 ha sido identificada en el plugin Nafeza Prayer Time para WordPress, permitiendo a atacantes autenticados con permisos de administrador o superiores realizar Cross-Site Scripting almacenado a través de la configuración del administrador. El plugin Nafeza Prayer Time para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del administrador…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Fluid Notification Bar <= 3.2.3 para WordPress
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Fluid Notification Bar para WordPress puede ser explotada por atacantes autenticados con permisos de administrador o superiores. La versión 3.2.3 y anteriores del plugin Fluid Notification Bar para WordPress son vulnerables a Cross-Site Scripting almacenado a través de la configuración del administrador debido a una insuficiente…
-
tagDiv Composer <= 4.8 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del Shortcode de botón
El plugin tagDiv Composer para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode de botón del plugin en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel…