Ultimas Noticias
-
Ventana Modal – Crear ventana modal emergente <= 5.3.8 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-2457 se refiere a un caso de Cross-Site Scripting Almacenado en el plugin Modal Window – create popup modal window para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de permisos contributor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.…
-
Avada <= 7.11.6 – SSRF autenticado (Contribuidor+) a través de form_to_url_action
El tema Avada | Website Builder For WordPress & WooCommerce para WordPress es vulnerable a la Vulnerabilidad de Petición de Servidor desde el Lado del Servidor (SSRF) en todas las versiones hasta, e incluyendo, la 7.11.6 a través de la función form_to_url_action. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior,…
-
Vulnerabilidad de Inyección de SQL en el Plugin de Reservas de Citas Simply Schedule Appointments Booking <= 1.6.7.7 – Autenticado (Subscriber+)
El plugin Appointment Booking Calendar — Simply Schedule Appointments Booking para WordPress es vulnerable a Inyección de SQL a través del parámetro keys en todas las versiones hasta, e incluyendo, 1.6.7.7 debido a la falta de escape suficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL…
-
Avada <= 7.11.6 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
La vulnerabilidad CVE-2024-2311 afecta al tema Avada para WordPress, permitiendo a atacantes autenticados con permisos de nivel contributor y superiores inyectar scripts web arbitrarios en páginas que ejecutarán cuando un usuario acceda a la página inyectada. La vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Website Article Monetization By MageNet <= 1.0.11
La vulnerabilidad CVE-2024-1379 afecta al plugin Website Article Monetization By MageNet para WordPress, permitiendo a atacantes no autenticados ejecutar scripts maliciosos en las páginas del sitio web. La vulnerabilidad de Cross-Site Scripting (XSS) se produce debido a una insuficiente sanitización de la entrada y escape de salida, junto con una falta de comprobación de autorización…
-
Notificación de Ventas en Vivo para Woocommerce – Woomotiv <= 3.4.3 – Cross-Site Request Forgery a través de ajax_cancel_review
El plugin Notificación de Ventas en Vivo para Woocommerce – Woomotiv para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.4.3. Esto se debe a la falta o validación incorrecta de nonce en la función ‘ajax_cancel_review’. Esto hace posible que atacantes no autenticados restablezcan el recuento de revisiones…
-
Problema de Exposición de Información en Coming Soon & Maintenance Mode by Colorlib <= 1.0.99
El plugin Coming Soon & Maintenance Mode by Colorlib para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.0.99 a través de la API REST. Esto permite a atacantes no autenticados obtener el contenido de publicaciones y páginas a través de la API REST, evitando así la…