Archivos mensuales: enero 2025

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Kurt Payne Upload Scanner permite XSS reflejado. Este problema afecta a Upload Scanner: desde n/a hasta 1.2.

En D-Link DIR-816 A2 1.10CNB05_R1B011D88210 se ha detectado una vulnerabilidad clasificada como crítica. Se trata de una función desconocida del archivo /goform/form2AdvanceSetup.cgi del componente WiFi Settings Handler. La manipulación conduce a controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.

Se ha encontrado una vulnerabilidad en D-Link DIR-816 A2 1.10CNB05_R1B011D88210 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /goform/form2Dhcpd.cgi del componente DHCPD Setting Handler. La manipulación conduce a controles de acceso inadecuados. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.

El complemento de WordPress wp-enable-svg hasta la versión 0.7 no desinfecta los archivos SVG cuando se cargan, lo que permite que los autores y superiores carguen SVG que contengan scripts maliciosos.

El complemento de WordPress AHAthat Plugin hasta la versión 1.6 no escapa del parámetro $_SERVER['REQUEST_URI'] antes de devolverlo en un atributo, lo que podría provocar Cross-Site Scripting reflejado en navegadores web antiguos.

El complemento de WordPress goodlayers-core anterior a la versión 2.0.10 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir que los usuarios con el rol de colaborador y superior realicen ataques de Cross-Site Scripting almacenado.