Ultimas Noticias
-
Header Footer Code Manager Pro <= 1.0.16 – XSS Reflejado a través del parámetro message
El plugin Header Footer Code Manager Pro para WordPress es vulnerable a XSS reflejado a través del parámetro message en todas las versiones hasta, e incluyendo, la 1.0.16 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si…
-
ElementsKit Pro <= 3.6.0 – Inclusión Local de Archivos Autenticada (Contrinutor+) a través de Widgets de Price Menu, Hotspot y Advanced Toggle
El plugin ElementsKit Pro para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.6.0 a través de los widgets Price Menu, Hotspot y Advanced Toggle. Esto permite a atacantes autenticados, con niveles de acceso de contribuidor y superiores, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo…
-
WP STAGING <= 3.4.3 y WP STAGING Pro <= 5.4.3 – Exposición de Información Sensible a través de Archivos de Registro
En este reporte se detalla una vulnerabilidad de exposición de información sensible en los plugins WP STAGING y WP STAGING Pro para WordPress en versiones hasta, e incluyendo, 3.4.3 y 5.4.3 respectivamente. Esta vulnerabilidad puede permitir a atacantes no autenticados extraer datos sensibles de un archivo de registro, incluyendo información del sistema y (en la…
-
Virtue <= 3.4.8 – XSS Almacenado Autenticado (Contribuidor+) a través del Autor del Post
La vulnerabilidad CVE-2024-4034 afecta al tema de WordPress Virtue en su versión 3.4.8 y anteriores, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar Cross-Site Scripting almacenado a través del nombre del autor de un post. La falta de saneamiento de entradas y la falta de escape de salidas en la funcionalidad de…
-
Vulnerabilidad en Product Addons & Fields for WooCommerce <= 32.0.18 permite la Subida de Archivos Arbitrarios no Autenticados a través de ppom_upload_file
La vulnerabilidad CVE-2024-3962 en el plugin Product Addons & Fields for WooCommerce para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ppom_upload_file en todas las versiones hasta, e incluyendo, 32.0.18. Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio…
-
Vulnerabilidad de Inyección SQL Autenticada en WP SMTP 1.2 – 1.2.6
La vulnerabilidad CVE-2024-1789 en el plugin WP SMTP para WordPress permite a atacantes autenticados, con nivel de acceso de administrador o superior, realizar Inyección SQL a través del parámetro ‘search’ en las versiones 1.2 a 1.2.6. Esto puede conducir a la extracción de información sensible de la base de datos. La falta de escape adecuado…
-
The Plus Addons for Elementor <= 5.4.2 – Cross-Site Scripting (XSS) Almacenado Autenticado a través de Atributos Personalizados
La vulnerabilidad CVE-2024-3197 en el plugin The Plus Addons for Elementor permite a atacantes autenticados realizar ataques de Cross-Site Scripting (XSS) almacenado a través de atributos personalizados en los widgets del plugin, lo que puede comprometer la seguridad de tu sitio WordPress. El plugin The Plus Addons for Elementor en versiones hasta la 5.4.2 es…