Ultimas Noticias
-
Getwid – Gutenberg Blocks <= 2.0.5 – Cross-Site Scripting Almacenado autenticado (Contributor+) a través del contenido del bloque
La vulnerabilidad CVE-2024-1948 afecta al plugin Getwid – Gutenberg Blocks para WordPress en versiones hasta 2.0.5, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado se debe a la insuficiente sanitización…
-
Memberpress <= 1.11.26 – Cross-Site Scripting Reflejado a través de message y error
El plugin Memberpress para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros ‘message’ y ‘error’ en todas las versiones hasta, e incluyendo, la 1.11.26 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si…
-
ColorMag <= 3.1.6 – Cross-Site Scripting por Nombre de Usuario en WordPress
La vulnerabilidad CVE-2024-2500 afecta al tema ColorMag para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos que se ejecutarán al acceder a una página comprometida. El tema ColorMag para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de usuario de un usuario en las versiones hasta…
-
Vulnerabilidad de Cross-Site Scripting en WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels <= 4.4.1
El plugin WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels para WordPress es vulnerable a un Cross-Site Scripting almacenado a través del campo Notas del Cliente en todas las versiones hasta, e incluyendo, la 4.4.1 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes no autenticados…
-
LiquidPoll – Polls, Encuestas, NPS y Retroalimentación <= 3.3.76 – Exposición de Información
El plugin LiquidPoll – Polls, Surveys, NPS and Feedback Reviews para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.3.76 a través del shortcode poller_list. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, extraer información de encuestas que pueden ser privadas. Para subsanar…
-
Blocksy Companion <= 2.0.31 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado afecta al plugin Blocksy Companion para WordPress en versiones hasta, e incluyendo, la 2.0.31. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida. El plugin Blocksy Companion para…
-
JetWidgets For Elementor <= 1.0.16 – XSS almacenado autenticado (Contributor+) a través del URL del botón del widget
El plugin JetWidgets For Elementor para WordPress es vulnerable a XSS almacenado a través del URL del botón del widget en todas las versiones hasta, e incluyendo, la 1.0.16 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…