Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el plugin Move Addons for Elementor <= 1.3.1
El plugin Move Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de múltiples widgets en todas las versiones hasta, e incluyendo, la 1.3.1 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel…
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Table Builder para WordPress
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin WP Table Builder para WordPress (versión <= 1.4.14) permite a atacantes autenticados (Contributor+) inyectar scripts web maliciosos en las páginas del sitio. La falta de sanitización de entrada y escapado de salida en el plugin WP Table Builder para WordPress lo hace vulnerable a ataques de…
-
HT Mega – Absolute Addons For Elementor <= 2.5.2 – Falta de Autorización para Actualizar Opciones
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a la modificación no autorizada de datos/pérdida de datos debido a una falta de verificación de capacidad en la función ‘ajax_dismiss’ en versiones hasta, e incluyendo, la 2.5.2. Esto permite a atacantes autenticados, con permisos de nivel suscriptor y superiores, actualizar opciones…
-
ShopLentor <= 2.8.8 – Cross-Site Scripting almacenado (Contributor+) autenticado a través de woolentorsearch Shortcode
El complemento ShopLentor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode woolentorsearch del complemento en todas las versiones hasta, e incluyendo, la 2.8.8 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel…
-
ShopLentor <= 2.8.8 – Falta de Autorización para la Modificación de Opciones en WordPress
Se ha identificado una vulnerabilidad en el plugin ShopLentor para WordPress que permite la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ajax_dismiss en todas las versiones hasta, e incluyendo, la 2.8.8. Esto posibilita que atacantes autenticados, con acceso de nivel contribuyente o superior, puedan establecer opciones…
-
WP Backpack <= 2.1 – Cross-Site Scripting Almacenado por Administradores Autenticados
El plugin WP Backpack para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 2.1 debido a una sanitización insuficiente de la entrada y la escape de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts…
-
WP Stacker <= 1.8.5 – Cross-Site Request Forgery a Cross-Site Scripting almacenado
El plugin WP Stacker para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, 1.8.5. Esto se debe a la falta o validación incorrecta de nonce en una función desconocida. Esto hace posible que atacantes no autenticados realicen una acción desconocida siempre que puedan engañar a un administrador del sitio…