Ultimas Noticias
-
Tutor LMS – Solución de eLearning y cursos en línea <= 2.6.2 – Scripting entre sitios almacenado autenticado (Contribuidor+) a través del Shortcode 'tutor_instructor_list'
El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a Scripting entre sitios almacenado a través del shortcode ‘tutor_instructor_list’ en todas las versiones hasta, e incluyendo, la 2.6.2 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto…
-
Vulnerabilidad de Cross-Site Scripting en Plugin de Galería de Imágenes para WordPress
El plugin Photo Gallery – GT3 Image Gallery & Gutenberg Block Gallery para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) que puede ser aprovechada por atacantes autenticados con nivel de autor o superior. La vulnerabilidad CVE-2024-4035, que afecta a las versiones hasta la 2.7.7.21 del plugin, se debe a una insuficiente sanitización…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.28
La vulnerabilidad de Cross-Site Scripting en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web maliciosos en páginas vulnerables. La versión 4.10.28 y anteriores del plugin Premium Addons for Elementor presentan una vulnerabilidad de Cross-Site Scripting almacenado a través del widget de…
-
Vulnerabilidad de Información Sensible en Essential Addons for Elementor <= 5.9.15
El plugin Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 5.9.15 a través de las funciones ajax_load_more(), eael_woo_pagination_product_ajax() y ajax_eael_product_gallery(). Esto permite a atacantes no autenticados extraer publicaciones que pueden estar en…
-
Vulnerabilidad en PropertyHive <= 2.0.12 permite la eliminación arbitraria de publicaciones sin autorización para Usuarios Autenticados (Suscriptores+)
En el plugin PropertyHive para WordPress se ha encontrado una vulnerabilidad que permite la pérdida de datos no autorizada debido a la falta de una verificación de capacidades en la función delete_key_date() en todas las versiones hasta, e incluyendo, la 2.0.12. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen…
-
Blocksy <= 2.0.39 – Cross-Site Scripting almacenado (XSS) autenticado (Contributor+) a través del bloque Acerca de mí
El tema Blocksy para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro className en el bloque Acerca de mí en todas las versiones hasta, e incluyendo, la 2.0.39 debido a una validación inadecuada de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de colaborador y superior,…
-
Vulnerabilidad en FOX – Currency Switcher Professional for WooCommerce <= 1.4.1.8 – Ejecución de Shortcode Arbitrario sin Autenticación
La vulnerabilidad de ejecución de shortcode arbitrario sin autenticación en el plugin FOX – Currency Switcher Professional for WooCommerce en versiones hasta, e incluyendo, 1.4.1.8, permite a atacantes no autenticados ejecutar shortcodes arbitrarios. La gravedad y explotabilidad dependen de qué otros plugins estén instalados y qué funcionalidades de shortcodes proporcionen. La vulnerabilidad reside en un…