Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Master Slider – Responsive Touch Slider <= 3.9.9 para Usuarios Autenticados (Contributor+)
La vulnerabilidad CVE-2023-6382 permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos a través del atributo ‘css_class’ del shortcode ‘ms_slide’ del plugin Master Slider en versiones hasta la 3.9.9. La falta de sanitización de entradas y escape de salida en el atributo ‘css_class’ permite a un atacante autenticado con permisos…
-
Inclusión de Archivo Local mediante Shortcode en Content Blocks (Custom Post Widget) <= 3.3.0
La vulnerabilidad CVE-2024-3564 en el plugin Content Blocks (Custom Post Widget) para WordPress permite a atacantes autenticados con al menos permisos de contribuidor incluir y ejecutar archivos arbitrarios en el servidor a través del shortcode ‘content_block’. Esto puede llevar a la ejecución de código PHP malicioso en el servidor. La vulnerabilidad de Inclusión de Archivo…
-
Bloques de Contenido (Widget de Publicación Personalizada) <= 3.3.0 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Shortcode content_block
El plugin de WordPress Bloques de Contenido (Widget de Publicación Personalizada) es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘content_block’ en todas las versiones hasta, e incluyendo, la 3.3.0 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes…
-
WordPress Infinite Scroll – Ajax Load More <= 7.1.1 – Cross-Site Scripting para Usuarios Autenticados (Contributor+)
El plugin WordPress Infinite Scroll – Ajax Load More para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ajax_load_more en versiones hasta, e incluyendo, la 7.1.1 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite a atacantes autenticados, con permisos a nivel de contribuidor y superiores, inyectar scripts…
-
Bloques de Gutenberg de Page Builder – CoBlocks <= 3.1.9 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través de Perfiles Sociales
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Page Builder Gutenberg Blocks – CoBlocks para WordPress hasta la versión 3.1.9 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad de un sitio web. El plugin CoBlocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del…
-
Player de Video HTML5 <= 2.5.26 – Inyección SQL sin autenticación
La seguridad de tu sitio web WordPress puede verse comprometida si utilizas la versión 2.5.26 o anteriores del plugin HTML5 Video Player. En este informe se detalla una vulnerabilidad de Inyección SQL que permite a atacantes no autenticados tomar el control de tu base de datos. El plugin HTML5 Video Player – Mejor Plugin de…
-
Happy Addons for Elementor <= 3.10.9 – Cross-Site Scripting almacenado autenticado a través de Image Accordion
El plugin Happy Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘ha-ia-content-button’ en todas las versiones hasta 3.10.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que…