Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Brainstorm Force Ultimate Addons para Beaver Builder (CVE-2023-51401)
Severidad: MEDIA
Fecha de publicación: 17/05/2024
Fecha de última actualización: 13/05/2025
La limitación incorrecta de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en Brainstorm Force Ultimate Addons para Beaver Builder permite el path traversal relativo. Este problema afecta a Ultimate Addons para Beaver Builder: desde n/a hasta 1.35.13.
-
Vulnerabilidad en WPMU DEV Defender Security (CVE-2024-25595)
Severidad: MEDIA
Fecha de publicación: 17/05/2024
Fecha de última actualización: 13/05/2025
La vulnerabilidad de omisión de autenticación mediante suplantación de identidad en WPMU DEV Defender Security permite la omisión de funcionalidad. Este problema afecta a Defender Security: desde n/a hasta 4.4.1.
-
Vulnerabilidad en Rocketsoft Rocket LMS 1.9 (CVE-2024-34241)
Severidad: MEDIA
Fecha de publicación: 17/05/2024
Fecha de última actualización: 13/05/2025
Una vulnerabilidad de Cross Site Scripting (XSS) en Rocketsoft Rocket LMS 1.9 permite a un administrador almacenar un payload de JavaScript utilizando la interfaz web de administración al crear nuevos cursos y notificaciones de nuevos cursos.
-
Vulnerabilidad en LuckyWP Table of Contents de WordPress (CVE-2024-2218)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/05/2025
El complemento LuckyWP Table of Contents de WordPress hasta la versión 2.1.4 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
-
Vulnerabilidad en Pray For Me de WordPress (CVE-2024-3965)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/05/2025
El complemento Pray For Me de WordPress hasta la versión 1.0.4 no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
-
Vulnerabilidad en AZAN Plugin de WordPress (CVE-2024-3993)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/05/2025
El complemento AZAN Plugin de WordPress hasta la versión 0.6 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payloads XSS almacenado a través de un ataque CSRF.
-
Vulnerabilidad en SVGator de WordPress (CVE-2024-4271)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/05/2025
El complemento SVGator de WordPress hasta la versión 1.2.6 no sanitiza el contenido del archivo SVG, lo que permite a los usuarios con al menos el rol de autor de SVG con JavaScript malicioso realizar ataques XSS almacenado.
-
Vulnerabilidad en WP Prayer II de WordPress (CVE-2024-4480)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/05/2025
El complemento WP Prayer II de WordPress hasta la versión 2.4.7 no tiene activada la verificación CSRF al actualizar su configuración de correo electrónico, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
-
Vulnerabilidad en Popup Builder de WordPress (CVE-2024-3236)
Severidad: MEDIA
Fecha de publicación: 17/06/2024
Fecha de última actualización: 13/05/2025
El complemento Popup Builder de WordPress anterior a 1.1.33 no sanitiza ni escapa a algunos de sus campos de notificación, lo que podría permitir a usuarios como colaborador y superiores realizar ataques de Cross-Site Scripting Almacenado.
-
Vulnerabilidad en Post Grid Gutenberg Blocks and WordPress Blog Plugin de WordPress (CVE-2024-4305)
Severidad: MEDIA
Fecha de publicación: 17/06/2024
Fecha de última actualización: 13/05/2025
El complemento Post Grid Gutenberg Blocks and WordPress Blog Plugin de WordPress anterior a 4.1.0 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior para realizar ataques de Cross-Site Scripting Almacenado