Ultimas Noticias
-
Jobs for WordPress <= 2.7.5 – XSS Reflejado a través de la búsqueda de empleo
El plugin Jobs for WordPress para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘job-search’ en todas las versiones hasta, e incluyendo, la 2.7.5 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si…
-
Click to Chat – HoliThemes <= 3.35 – Inclusión Local de Archivos (Authenticated)
El plugin Click to Chat – HoliThemes para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.35. Esto permite a atacantes autenticados, con acceso de contribuyente o superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de código PHP en esos archivos. Esta vulnerabilidad,…
-
Vulnerabilidad SSRF en el plugin RSS Aggregator by Feedzy para WordPress
El plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress es vulnerable a una vulnerabilidad de Server-Side Request Forgery (SSRF) en todas las versiones hasta, e incluyendo, la 4.4.7 a través de la funcionalidad fetch_feed. Esto permite a atacantes autenticados, con acceso de contribuidor y superior,…
-
Agregados Esenciales para Elementor <= 5.9.14 – Scripting Cruzado de Sitios Almacenado (Contribuidor+) Autenticado a través del Atributo de URL del Widget
El complemento Essential Addons for Elementor para WordPress es vulnerable a Scripting Cruzado de Sitios Almacenado a través de los atributos de URL de los widgets en todas las versiones hasta, e incluyendo, la 5.9.14 debido a una sanitización insuficiente de la entrada y escape de salida en atributos suministrados por el usuario. Esto permite…
-
Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE <= 2.6.9 – Cross-Site Scripting almacenado autenticado a través de 'titleTag'
El plugin Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Post Grid en todas las versiones hasta, e incluyendo, la 2.6.9 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario como…
-
WP Show Posts <= 1.1.5 – Autorización inadecuada para exposición de información
El plugin WP Show Posts para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en múltiples funciones AJAX en todas las versiones hasta, e incluyendo, la 1.1.5. Esto permite a atacantes autenticados, con acceso de suscriptor y superior, ver metadatos de publicaciones arbitrarias, listar publicaciones…
-
Vulnerabilidad de Cross-Site Scripting en HT Mega – Absolute Addons For Elementor <= 2.4.6 a través del Widget Lightbox
La vulnerabilidad CVE-2024-2084 permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web utilizando el plugin HT Mega – Absolute Addons For Elementor en versiones hasta 2.4.6. El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget lightbox…