Ultimas Noticias
-
Salon booking system <= 9.8 – Eliminación Arbitraria de Archivos sin Autenticación
La vulnerabilidad CVE-2024-4442 en el sistema de reserva de salones para WordPress permite la eliminación arbitraria de archivos sin autenticación en todas las versiones hasta la 9.8. Esto se debe a que el plugin no valida adecuadamente la ruta de un archivo cargado antes de eliminarlo. Esto permite que atacantes no autenticados eliminen archivos arbitrarios,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Uber Menu <= 3.8.2
El plugin UberMenu para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ubermenu-col, ubermenu_mobile_close_button, ubermenu_toggle, ubermenu-search en todas las versiones hasta, e incluyendo, la 3.8.2. La falta de sanitización de entrada y escape de salida en atributos suministrados por el usuario hace posible que atacantes autenticados, con acceso de nivel contribuyente…
-
Master Slider – Responsive Touch Slider <= 3.9.9 – Cross-Site Scripting por Usuario Autenticado (Contributor+)
El plugin Master Slider – Responsive Touch Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ms_slide_info’ en todas las versiones hasta la 3.9.9 debido a una insuficiente sanitización de entradas y escape de salida en el atributo ‘tag_name’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Logo Slider <= 3.9.9 – Cross-Site Scripting almacenado para usuarios autenticados (Contributor+)
El plugin Logo Slider – Logo Carousel, Logo Showcase & Client Logo Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros de encabezado y subtítulo en todas las versiones hasta la 3.9.9 debido a una sanitización insuficiente de la entrada y al escape insuficiente de la salida. Esto permite que…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Combo Blocks para WordPress
El plugin Combo Blocks para WordPress hasta la versión 2.2.80 es vulnerable a un Cross-Site Scripting (XSS) almacenado, lo que puede permitir a atacantes autenticados inyectar scripts maliciosos en páginas del sitio. La vulnerabilidad CVE-2024-3155 se debe a la insuficiente sanitización de entradas y escape de salidas en varios parámetros del plugin Post Grid, Form…
-
Blocksy <= 2.0.46 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El tema Blocksy para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘has_field_link_rel’ en todas las versiones hasta, e incluyendo, la 2.0.46 debido a una insuficiente sanitización de inputs y escapado de outputs. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que…
-
Vulnerabilidad de Cross-Site Scripting en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates <= 4.5.12
El plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘tagName’ en versiones hasta, e incluyendo, 4.5.12 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, inyectar scripts…