Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Social Share Buttons para WordPress (CVE-2024-12807)
Severidad: MEDIA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 11/05/2025
El complemento Social Share Buttons para WordPress 2.7 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con altos privilegios como el administrador realicen ataques Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
-
Vulnerabilidad en Competition Form de WordPress (CVE-2024-12749)
Severidad: ALTA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 11/05/2025
El complemento Competition Form de WordPress hasta la versión 2.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera una Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Tracking Code Manager de WordPress (CVE-2024-10309)
Severidad: MEDIA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 11/05/2025
El complemento Tracking Code Manager de WordPress anterior a la versión 2.4.0 no desinfecta ni escapa algunas de las configuraciones de su metabox al mostrarlas en la página, lo que podría permitir que los usuarios con un rol tan bajo como Colaborador realicen ataques de Cross-Site Scripting.
-
Vulnerabilidad en Bulk Me Now! de WordPress (CVE-2024-12638)
Severidad: ALTA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 11/05/2025
El complemento Bulk Me Now! de WordPress hasta la versión 2.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera una Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
-
Vulnerabilidad en Bulk Me Now! de WordPress (CVE-2024-12708)
Severidad: ALTA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 11/05/2025
El complemento Bulk Me Now! de WordPress hasta la versión 2.0 no valida ni escapa algunos de los atributos de su código corto antes de mostrarlos nuevamente en una página o publicación donde está incrustado el código corto, lo que podría permitir que los usuarios con el rol de colaborador y superior realicen ataques Cross-Site Scripting Almacenado.
-
Vulnerabilidad en Bulk Me Now! de WordPress (CVE-2024-12709)
Severidad: MEDIA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 11/05/2025
El complemento Bulk Me Now! de WordPress hasta la versión 2.0 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios registrados realicen acciones no deseadas mediante ataques CSRF.
-
Vulnerabilidad en WP MediaTagger de WordPress (CVE-2024-13101)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 11/05/2025
El complemento WP MediaTagger de WordPress hasta la versión 4.1.1 no valida ni escapa algunos de sus atributos de código corto antes de mostrarlos nuevamente en una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques Cross-Site Scripting Almacenado.
-
Vulnerabilidad en WP MediaTagger para WordPress (CVE-2024-13112)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 11/05/2025
El complemento WP MediaTagger para WordPress hasta la versión 4.1.1 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Fast Tube de WordPress (CVE-2024-13218)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento Fast Tube de WordPress hasta la versión 2.3.1 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Privacy Policy Genius de WordPress (CVE-2024-13219)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento Privacy Policy Genius de WordPress hasta la versión 2.0.4 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
-
Vulnerabilidad en WordPress Google Map Professional para WordPress (CVE-2024-13220)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento WordPress Google Map Professional (Map In Your Language) para WordPress hasta la versión 1.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Fantastic ElasticSearch de WordPress (CVE-2024-13221)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento Fantastic ElasticSearch de WordPress hasta la versión 4.1.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Tabulate de WordPress (CVE-2024-13223)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento Tabulate de WordPress hasta la versión 2.10.3 no desinfecta ni escapa algunos parámetros antes de mostrarlos nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en SlideDeck 1 Lite Content Slider de WordPress (CVE-2024-13224)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 12/05/2025
El complemento SlideDeck 1 Lite Content Slider de WordPress hasta la versión 1.4.8 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en iframe Responsive de WordPress (CVE-2024-12768)
Severidad: MEDIA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 12/05/2025
El complemento iframe Responsive de WordPress hasta la versión 1.2.0 no valida ni escapa algunas de sus opciones de bloque antes de mostrarlas nuevamente en una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques Cross-Site Scripting Almacenado.
-
Vulnerabilidad en WP Finance para WordPress (CVE-2024-13096)
Severidad: MEDIA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 12/05/2025
El complemento WP Finance para WordPress hasta la versión 1.3.6 no tiene verificación CSRF en algunos lugares y le falta saneamiento y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue XSS almacenado payloads a través de un ataque CSRF.
-
Vulnerabilidad en WP Finance para WordPress (CVE-2024-13097)
Severidad: MEDIA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 12/05/2025
El complemento WP Finance para WordPress hasta la versión 1.3.6 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.