Ultimas Noticias
-
Happy Addons para Elementor <= 3.10.6 – Cross-Site Scripting Almacenado Autenticado (Colaborador+) a través del Widget Calendly
El plugin Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Calendly en todas las versiones hasta, e incluyendo, la 3.10.5 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Blog2Social: Social Media Auto Post & Scheduler <= 7.4.2 – Exposición de Información
El plugin Blog2Social: Social Media Auto Post & Scheduler para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 7.4.2. Esto permite que atacantes no autenticados puedan ver información limitada de publicaciones protegidas con contraseña. La falta de autorización en el plugin Blog2Social: Social Media Auto Post…
-
Vulnerabilidad de Almacenamiento no Protegido de Archivos Potencialmente Sensibles en WP-Members Membership Plugin <= 3.4.9.3
El plugin WP-Members Membership Plugin para WordPress es vulnerable a la Exposición de Información en todas las versiones hasta, e incluyendo, 3.4.9.3 debido a que el plugin sube archivos proporcionados por el usuario a un directorio públicamente accesible en wp-content sin restricciones. Esto permite a atacantes no autenticados ver archivos subidos por otros usuarios que…
-
ARForms Form Builder <= 1.6.4 – Falta de Autorización para Eliminación Arbitraria de Opciones por Usuarios Autenticados (Suscriptor+)
El complemento para formularios de contacto, encuestas y formularios emergentes para WordPress – ARForms Form Builder plugin para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘arflite_remove_preview_data’ en todas las versiones hasta, e incluyendo, la 1.6.4. Esto permite a atacantes autenticados,…
-
The Plus Addons para Elementor <= 5.4.2 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del widget de cuenta regresiva
La vulnerabilidad CVE-2024-3199 se presenta en el plugin The Plus Addons para Elementor en su versión 5.4.2 y anteriores, permitiendo a atacantes autenticados con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada. La falta de sanitización y escape de…
-
Radio Player <= 2.0.73 – Cross-Site Scripting Almacenado (Contributor+)
La vulnerabilidad CVE-2024-29811 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas a través del plugin Radio Player para WordPress. La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Radio Player para WordPress se debe a una sanitización insuficiente de la entrada y escapado de la salida. Esto…
-
Vulnerabilidad de XSS Almacenado en Simple Membership <= 4.4.3 a través de Shortcode
La vulnerabilidad CVE-2024-3730 descubierta en el plugin Simple Membership para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘swpm_paypal_subscription_cancel_link’. La falta de saneamiento de entrada y escape de salida en los atributos proporcionados por los usuarios en la versión 4.4.3 y anteriores…