Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Video Lightbox <= 1.9.10 a través del parámetro de ancho
El plugin WP Video Lightbox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘width’ en todas las versiones hasta, e incluyendo, la 1.9.10 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts…
-
Vulnerabilidad en Follow Us Badges <= 3.1.10 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode wpsite_follow_us_badges
Se ha identificado una vulnerabilidad en el plugin Follow Us Badges para WordPress que permite a atacantes autenticados realizar Cross-Site Scripting almacenado a través del shortcode wpsite_follow_us_badges en todas las versiones hasta la 3.1.10. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios.…
-
Vulnerabilidad de Cross-Site Scripting en WP Recipe Maker <= 9.3.1
La vulnerabilidad CVE-2024-3490 afecta al plugin WP Recipe Maker para WordPress y permite a atacantes almacenar scripts maliciosos en páginas web a través del shortcode wprm-recipe-roundup-item, poniendo en riesgo a usuarios con acceso de contributor o superior. La falta de sanitización de entrada y escapado de salida en atributos proporcionados por usuarios en la versión…
-
Supreme Modules Lite – Vulnerabilidad de Cross-Site Scripting en Divi Theme, Extra Theme y Divi Builder <= 2.5.3 – Autenticado (Contributor+)
El plugin Supreme Modules Lite – Divi Theme, Extra Theme y Divi Builder para WordPress es vulnerable a Cross-Site Scripting basado en DOM a través del parámetro ‘typing_cursor’ en versiones hasta, e incluyendo, la 2.5.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos…
-
Contact Form by WPForms – Manipulación de Precios no Autenticada
El complemento Contact Form by WPForms – Drag & Drop Form Builder for WordPress para WordPress es vulnerable a la manipulación de precios en versiones hasta, e incluyendo, 1.8.7.2. Esto se debe a la falta de controles en varios parámetros del producto. Esto hace posible que atacantes no autenticados manipulen precios, información del producto y…
-
Vulnerabilidad de Inyección SQL en WP ERP | Solución de recursos humanos completa con reclutamiento y listados de empleo | WooCommerce CRM y Contabilidad <= 1.13.1 – Autenticado (AccountingManager+)
La vulnerabilidad CVE-2024-1173 en el plugin WP ERP para WordPress permite a atacantes autenticados llevar a cabo un ataque de Inyección SQL, lo que puede resultar en la extracción de información sensible de la base de datos del sitio web. La versión 1.13.1 y anteriores de WP ERP son vulnerables a Inyección SQL basada en…
-
Vulnerabilidad de XSS almacenado en Master Addons para Elementor <= 2.0.5.9 – Contributor+
El plugin Master Addons – Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor para WordPress es vulnerable a XSS almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, la 2.0.5.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con permisos de nivel de contribuidor…