Ultimas Noticias
-
Contact Form Manager <= 1.6.1 – Cross-Site Scripting Almacenado autenticado (Contribuidor+)
La vulnerabilidad CVE-2024-2295 afecta al plugin Contact Form Manager para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web maliciosos en páginas generadas por el plugin. El plugin Contact Form Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode [xyz-cfm-form] en todas las versiones hasta, e…
-
Vulnerabilidad en QQWorld Auto Save Images <= 1.9.8 – Falta de Autorización para la Recuperación de Contenido de Posts Arbitrarios
La vulnerabilidad en el plugin QQWorld Auto Save Images para WordPress permite el acceso no autorizado a datos debido a la falta de una comprobación de capacidad en la función save_remote_images_get_auto_saved_results() enganchada a través de un AJAX no privilegiado en todas las versiones hasta, e incluyendo, la 1.9.8. Esto hace posible que atacantes no autenticados…
-
Plugin de WordPress User Registration – Formulario de Registro Personalizado, Formulario de Inicio de Sesión y Perfil de Usuario <= 3.2.0.1 – Falta de Autorización a Escalada de Privilegios
El plugin User Registration – Formulario de Registro Personalizado, Formulario de Inicio de Sesión y Perfil de Usuario para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función ‘import_form_action’ en versiones hasta, e incluyendo, la 3.2.0.1. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Royal Elementor Addons and Templates <= 1.3.975
La vulnerabilidad del tipo Cross-Site Scripting (XSS) almacenada en el plugin Royal Elementor Addons and Templates para WordPress permite a atacantes autenticados (con nivel de contribuidor o superior) inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin Royal Elementor Addons and Templates en versiones anteriores a…
-
Popup Builder <= 4.2.7 – Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a través de JS Personalizado
La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en páginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios. El plugin Popup Builder hasta la versión 4.2.7 es vulnerable a Cross-Site Scripting almacenado…
-
Vulnerabilidad de Cross-Site Scripting en Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder <= 2.5.51
En este informe se detalla una vulnerabilidad de Cross-Site Scripting en el plugin Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Contribuidor o superior inyectar scripts web maliciosos en páginas del sitio afectado. La vulnerabilidad de Cross-Site Scripting en…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Royal Elementor Addons and Templates <= 1.3.975
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Royal Elementor Addons and Templates para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página comprometida. El plugin Royal Elementor Addons and Templates para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets…