Ultimas Noticias
-
Vulnerabilidad de Inyección de Objetos PHP en ShiftController Employee Shift Scheduling <= 4.9.57 – Autenticado (Contribuidor+)
La vulnerabilidad de deserialización de datos no confiables en el plugin de programación de turnos de empleados ShiftController Employee Shift Scheduling permite la inyección de objetos PHP a través de la deserialización de entradas no confiables a través de la cookie `hc3_session` en versiones hasta, e incluyendo, la 4.9.57. Esto hace posible que un atacante…
-
Edición masiva de entradas para WordPress <= 4.2.3 – Falsificación de Solicitud entre Sitios
El plugin Bulk Posts Editing For WordPress para WordPress es vulnerable a Falsificación de Solicitud entre Sitios (CSRF) en todas las versiones hasta, e incluyendo, la 4.2.3. Esto se debe a la falta de validación de nonce incorrecta en las acciones AJAX del plugin. Esto hace posible que atacantes no autenticados creen y dupliquen entradas,…
-
ReviewX – Calificación y Reseñas Multi-criterio para WooCommerce <= 1.6.27 – Autorización faltante
El plugin ReviewX – Calificación y Reseñas Multi-criterio para WooCommerce en WordPress es vulnerable a la eliminación no autorizada de datos debido a una falta de verificación de capacidad en la función reviewx_remove_guest_image en todas las versiones hasta, e incluyendo, la 1.6.27. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, eliminen…
-
Elementor Header & Footer Builder <= 1.6.26 – Inyección de HTML Autenticada (Autor+)
El plugin Elementor Header & Footer Builder para WordPress es vulnerable a Inyección de HTML en todas las versiones hasta, e incluyendo, la 1.6.26 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con permisos de nivel autor y superiores, inyecten HTML arbitrario en páginas que se mostrarán…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Master Addons for Elementor <= 2.0.6.0
La vulnerabilidad CVE-2024-3134 afecta al plugin Master Addons – Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor para WordPress. Esta vulnerabilidad de Cross-Site Scripting almacenado permite a atacantes autenticados inyectar scripts maliciosos en páginas del sitio que serán ejecutados cuando un usuario acceda a dicha página. La vulnerabilidad se debe a una insuficiente sanitización…
-
Penci Soledad Data Migrator <= 1.3.0 – Inclusión de Archivos Locales no Autenticados
El plugin Penci Soledad Data Migrator para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.3.0 a través del parámetro ‘data’. Esto permite que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto…
-
Cost Calculator Builder Pro <= 3.1.72 – SSRF con Autenticación (Subscriber+)
El plugin Cost Calculator Builder Pro para WordPress es vulnerable a SSRF en todas las versiones hasta la 3.1.72, a través de la función send_demo_webhook(). Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, realizar solicitudes web a ubicaciones arbitrarias que se originan desde la aplicación web y pueden utilizarse para consultar…