Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Elegant Addons for Elementor <= 1.0.8 – Autenticado (Contributor+) Almacenado a través de los Widgets Switcher, Slider e Iconbox
La vulnerabilidad en el plugin Elegant Addons for Elementor para WordPress permite a atacantes autenticados realizar un ataque de Cross-Site Scripting almacenado a través de los widgets Switcher, Slider e Iconbox en todas las versiones hasta la 1.0.8. Esto se debe a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por…
-
Vulnerabilidad de Cross-Site Scripting en WPKoi Templates para Elementor <= 2.5.9
La vulnerabilidad CVE-2024-4980 en el plugin WPKoi Templates para Elementor permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios parámetros, lo que podría comprometer la seguridad de un sitio web WordPress. El plugin WPKoi Templates para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros…
-
Vulnerabilidad de Autorización ausente en AI ChatBot <= 5.3.4 a través de openai_file_delete_callback
La vulnerabilidad de Autorización ausente en el plugin AI ChatBot para WordPress, identificada con el ID CVE-2024-0453, permite a atacantes autenticados eliminar archivos de una cuenta de OpenAI vinculada, incluso con acceso de nivel suscriptor y superior. La función openai_file_delete_callback carece de una verificación de capacidades, lo que posibilita la modificación no autorizada de datos…
-
AI ChatBot <= 5.3.4 – Falta de Autorización a través de openai_file_list_callback
El plugin AI ChatBot para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidad en la función openai_file_list_callback en todas las versiones hasta, e incluyendo, la 5.3.4. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, listar archivos existentes en una cuenta de OpenAI…
-
Vulnerabilidad en AI ChatBot <= 5.3.4 – Autorización faltante mediante openai_file_upload_callback
La vulnerabilidad en el plugin AI ChatBot para WordPress permite la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función openai_file_upload_callback en todas las versiones hasta, e incluyendo, la 5.3.4. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, cargar archivos en una cuenta de…
-
Media Library Assistant <= 3.15 – Inyección SQL autenticada (Contributor+) a través de Shortcode
El plugin Media Library Assistant para WordPress es vulnerable a Inyección SQL a través del shortcode del plugin en todas las versiones hasta, e incluyendo, la 3.15 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados,…
-
Vulnerabilidad en Media Library Assistant <= 3.15 – Reflected Cross-Site Scripting via lang
El plugin Media Library Assistant para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro lang en todas las versiones hasta, e incluyendo, la 3.15 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran…