Ultimas Noticias
-
ElementsKit Pro <= 3.6.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, 3.6.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de contribuidor y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada…
-
YouTube Video Gallery by YouTube Showcase – Plugin de Galería de Video para WordPress <= 3.3.6 – Falta de Autorización para la Creación Arbitraria de Entradas/Páginas
El plugin YouTube Video Gallery by YouTube Showcase – Plugin de Galería de Video para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función emd_form_builder_lite_submit_form en todas las versiones hasta, e incluyendo, la versión 3.3.6. Esto permite que atacantes no autenticados creen…
-
Vulnerabilidad de Cross-Site Scripting en Page Builder by SiteOrigin <= 2.29.15
El plugin Page Builder by SiteOrigin para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘siteorigin_widget’ en todas las versiones hasta, e incluyendo, la 2.29.15 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Elementor Website Builder – Más que un Constructor de Páginas <= 3.21.4 – Cross-Site Scripting Almacenado DOM-Based Autenticado (Contribuidor+)
La vulnerabilidad de Cross-Site Scripting Almacenado DOM-Based afecta al plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress en versiones hasta, e incluyendo, 3.21.4. Esta vulnerabilidad se debe a una insuficiente sanitización de entradas y escape de salidas, lo que permite a atacantes autenticados, con permisos de nivel contribuidor y superior,…
-
HT Mega – Absolute Addons For Elementor <= 2.5.2 – Cross-Site Scripting con usuario autenticado (Contributor+)
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘popover_header_text’ en versiones hasta, e incluyendo, 2.5.2 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes autenticados, con permisos de nivel contribuidor y superior, inyecten scripts web arbitrarios…
-
Popup Maker WP <= 1.2.8 – Cross-Site Scripting Almacenado con Autenticación (Suscriptor+)
La vulnerabilidad CVE-2024-34770 en el plugin de WordPress Popup Maker WP hasta la versión 1.2.8 permite a atacantes autenticados, con acceso de nivel suscriptor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página afectada. El plugin Popup Maker WP no realiza una sanitización suficiente de la entrada y…
-
Plugin de Shortcodes de WP – Shortcodes Ultimate <= 7.1.5 – XSS autenticado (Contributor+) almacenado a través del Shortcode su_members
El plugin WP Shortcodes – Shortcodes Ultimate para WordPress es vulnerable a XSS almacenado a través del shortcode ‘su_members’ en todas las versiones hasta, e incluyendo, la 7.1.5 debido a la falta de saneamiento de entrada y escape de salida en el atributo ‘color’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso…