Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Beaver Builder Addons by WPZOOM <= 1.3.4 a través del Widget Image Box
La vulnerabilidad CVE-2024-2185 en el plugin Beaver Builder Addons by WPZOOM para WordPress permite a atacantes autenticados con nivel de contribuidor o superior insertar scripts web arbitrarios en páginas, lo que puede llevar a la ejecución de scripts maliciosos en el navegador de los usuarios. La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en el…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Beaver Builder Addons by WPZOOM <= 1.3.4 a través de Testimonials Widget
La vulnerabilidad CVE-2024-2187 en el plugin Beaver Builder Addons by WPZOOM para WordPress permite a atacantes autenticados realizar Cross-Site Scripting (XSS) a través del widget de Testimonials en todas las versiones hasta la 1.3.4. Esto se debe a una insuficiente sanitización de entrada y escape de salida. Esto posibilita que atacantes autenticados, con acceso de…
-
Accordion <= 2.2.96 – Falta de Autorización para Duplicación de Posts por Usuarios Autenticados (Contribuidores+)
El plugin Accordion para WordPress es vulnerable a acceso no autorizado de datos y modificación de datos debido a la falta de una comprobación de capacidad en la función ‘accordions_duplicate_post_as_draft’ en todas las versiones hasta, e incluyendo, la 2.2.96. Esto permite que atacantes autenticados, con acceso de contribuidor y superior, dupliquen posts arbitrarios, lo que…
-
Escalada de privilegios no autenticada en Malware Scanner y Web Application Firewall
El plugin Malware Scanner y Web Application Firewall para WordPress (ambos desarrollados por MiniOrange) presentan una vulnerabilidad de escalada de privilegios debido a la falta de verificación de capacidades en la función mo_wpns_init() en todas las versiones hasta, e incluyendo, la 4.7.2 (para Malware Scanner) y 2.1.1 (para Web Application Firewall). Esto permite a atacantes…
-
Contact Form 7 <= 5.9 – Cross-Site Scripting Reflejado
El plugin Contact Form 7 para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘active-tab’ en todas las versiones hasta, e incluyendo, la 5.9 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Cross-Site Scripting en WPBakery Page Builder Addons by Livemesh <= 3.8.1
La vulnerabilidad CVE-2024-2079 en el plugin WPBakery Page Builder Addons by Livemesh permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas del sitio. La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WPBakery Page Builder Addons by Livemesh hasta la versión 3.8.1 se produce debido a la falta de…
-
Vulnerabilidad de Cross-Site Request Forgery en Related Posts for WordPress <= 2.2.1
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Related Posts for WordPress para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.2.1. Esto se debe a la falta o validación incorrecta de nonce en la función handle_create_link(). Esto permite a atacantes no autenticados agregar publicaciones relacionadas a otras publicaciones a través…