Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en WP Ultimate Post Grid <= 3.9.1
La vulnerabilidad CVE-2024-4043 afecta al plugin WP Ultimate Post Grid para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts maliciosos en páginas web. El plugin WP Ultimate Post Grid hasta la versión 3.9.1 es vulnerable a un Cross-Site Scripting almacenado a través del shortcode ‘wpupg-text’, debido a la insuficiente sanitización…
-
Email Subscribers de Icegram Express – Email Marketing, Boletines, Automatización para WordPress & WooCommerce <= 5.7.17 – Falta de Autorización
El plugin Email Subscribers de Icegram Express – Email Marketing, Boletines, Automatización para WordPress & WooCommerce es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidades en la función get_template_content en todas las versiones hasta, e incluyendo, la 5.7.17. Esto permite que atacantes autenticados, con acceso de suscriptor y…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Hash Elements <= 1.3.8 mediante el parámetro url en múltiples widgets
La vulnerabilidad CVE-2024-5177 en el plugin Hash Elements para WordPress permite a atacantes autenticados con nivel de contributor o superior inyectar scripts web maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado en Hash Elements hasta la versión 1.3.8 se produce debido a una insuficiente sanitización…
-
Brizy – Page Builder <= 2.4.43 – Falta de Autorización
El plugin Brizy – Page Builder para WordPress es vulnerable a la actualización no autorizada de ajustes del plugin debido a la falta de comprobación de capacidad en las funciones action_request_disable, action_change_template y action_request_enable en todas las versiones hasta, e incluyendo, la 2.4.43. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, habilitar/deshabilitar…
-
RomethemeForm For Elementor <= 1.1.5 – Falta de autorización mediante export_entries, rtformnewform y rtformupdate
El plugin RomethemeForm For Elementor para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a la falta de comprobación de capacidades en las funciones export_entries, rtformnewform y rtformupdate en todas las versiones hasta, e incluyendo, la 1.1.5. Esto permite que atacantes no autenticados exporten envíos de formularios arbitrarios, creen nuevos formularios…
-
Vulnerabilidad en Oxygen Builder <= 4.8.2 – Ejecución remota de código autenticado (Contributor+)
El plugin Oxygen Builder para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta, e incluyendo, la 4.8.2 a través de metadatos de publicación. Esto se debe a que el plugin almacena datos personalizados en los metadatos de la publicación sin un prefijo de subrayado. Esto hace posible que usuarios…
-
LA-Studio Element Kit para Elementor <= 1.3.7.6 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del parámetro id
La vulnerabilidad CVE-2024-4431, también conocida como ‘Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)’, afecta al plugin LA-Studio Element Kit para Elementor en versiones anteriores a 1.3.7.6. Esta vulnerabilidad permite a atacantes autenticados con nivel de contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a…