Ultimas Noticias
-
Vulnerabilidad de Autorización Faltante en Sharkdropship para AliExpress Dropshipping y Afiliados <= 2.2.4 – Eliminación Arbitraria de Publicaciones sin Autorización
La vulnerabilidad de autorización faltante en el plugin Sharkdropship para WordPress pone en riesgo la integridad de los datos al permitir la eliminación no autorizada de publicaciones debido a la falta de una verificación de capacidad en la función wads_removeProductFromShop() en todas las versiones hasta la 2.2.4. Esto facilita que atacantes no autenticados eliminen publicaciones…
-
Genesis Blocks <= 3.1.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Contenido del Bloque
El plugin Genesis Blocks para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del contenido del bloque en todas las versiones hasta, e incluyendo, la 3.1.2 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Exposición de Información en el Plugin WPFront User Role Editor <= 3.2.1.11184
El plugin WPFront User Role Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.2.1.11184 a través de la acción AJAX wpfront_user_role_editor_assign_roles_user_autocomplete. Esto permite que atacantes autenticados, con acceso a nivel de suscriptor y superior, extraigan una lista de todas las direcciones de correo electrónico…
-
Vulnerabilidad de Cross-Site Scripting Stored en Template Kit – Import
El plugin Template Kit – Import para WordPress es vulnerable a Cross-Site Scripting Stored a través de la funcionalidad de carga de plantillas en todas las versiones hasta, e incluyendo, 1.0.14 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de autor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder WordPress Page Builder <= 2.8.0.5
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Button del plugin en todas las versiones hasta, e incluyendo, la 2.8.0.5 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes…
-
Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Metform Elementor Contact Form Builder <= 3.8.5
La vulnerabilidad CVE-2024-2791 en el plugin Metform Elementor Contact Form Builder para WordPress permite a atacantes autenticados generar ataques XSS almacenados a través de los widgets del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios. Esta vulnerabilidad afecta a todas las…