Ultimas Noticias
-
TeraWallet – Vulnerabilidad de XSS Almacenado en WooCommerce Wallet System
La vulnerabilidad CVE-2024-32584 afecta al plugin TeraWallet – Mejor Sistema de Billetera WooCommerce con Recompensas de Devolución de Efectivo, Pago Parcial, Devoluciones de Billetera en versiones hasta 1.5.0. Esto permite a atacantes autenticados, con permisos de Shop Manager o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda…
-
ElementsKit Elementor addons <= 3.1.0 – Inclusión Local de Archivos Autenticados (Contributor+) a través del Módulo de Desplazamiento de Una Página
El plugin ElementsKit Elementor addons para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.1.0 a través de la función generate_navigation_markup del módulo Onepage Scroll. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Collapse-O-Matic <= 1.8.5.5
El plugin Collapse-O-Matic para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘expand’ del plugin en todas las versiones hasta, e incluyendo, 1.8.5.5 debido a una sanitización insuficiente de la entrada y escape de la salida en el atributo ‘tag’ suministrado por el usuario. Esto permite a atacantes autenticados con permisos de…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Premium Addons for Elementor <= 4.10.28
La vulnerabilidad CVE-2024-3885 en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado. El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de valor de subcontenedor en todas las versiones hasta, e incluyendo, 4.10.28 debido a una…
-
Send PDF for Contact Form 7 <= 1.0.2.3 – Falta de Autorización
El plugin Send PDF for Contact Form 7 para WordPress es vulnerable a accesos no autorizados de envíos de formularios debido a la falta de comprobación de capacidades en la función de ganchos en todas las versiones hasta, e incluyendo, la 1.0.2.3. Esto permite que atacantes no autenticados descarguen información sobre las entradas de formularios…
-
Vulnerabilidad de Autorización Ausente en WP Datepicker <= 2.1.0 para Usuarios Autenticados (Suscriptores+) para la Actualización Arbitraria de Opciones
La vulnerabilidad de autorización ausente en el plugin WP Datepicker para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función wpdp_add_new_datepicker_ajax() en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar opciones…
-
FileOrganizer y FileOrganizer Pro <= 1.0.6 – Cross-Site Scripting almacenado autenticado
El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos svg en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados inyecten scripts web arbitrarios…