CVE-2024-12593

CVE-2024-12593

Título es
CVE-2024-12593

Mié, 15/01/2025 – 12:15

Tipo
CWE-79

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-12593

Descripción es
El complemento PDF para WPForms + Drag and Drop Template Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto yeepdf_dotab del complemento en todas las versiones hasta la 4.6.0 incluida debido a una desinfección de entrada y a un escape de salida insuficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Descripción en
The PDF for WPForms + Drag and Drop Template Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's yeepdf_dotab shortcode in all versions up to, and including, 4.6.0 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

15/01/2025
15/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
6.40

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://plugins.trac.wordpress.org/changeset/3222206/

  • PDF for WPForms + Drag and Drop Template Builder



  • https://www.wordfence.com/threat-intel/vulnerabilities/id/7e6b24a2-55ed-40e7-bcf0-a9ceb8ea022c?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-11851

    CVE-2024-11851

    Título es
    CVE-2024-11851

    Mié, 15/01/2025 – 12:15

    Tipo
    CWE-862

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11851

    Descripción es
    El complemento NitroPack para WordPress es vulnerable a actualizaciones transitorias arbitrarias no autorizadas debido a una verificación de capacidad faltante en la función nitropack_rml_notification en todas las versiones hasta la 1.17.0 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen valores transitorios arbitrarios. Tenga en cuenta que estos valores transitorios solo se pueden actualizar a números enteros y no a valores arbitrarios.

    Descripción en
    The NitroPack plugin for WordPress is vulnerable to unauthorized arbitrary transient update due to a missing capability check on the nitropack_rml_notification function in all versions up to, and including, 1.17.0. This makes it possible for authenticated attackers, with subscriber access or higher, to update arbitrary transients. Note, that these transients can only be updated to integers and not arbitrary values.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/changeset/3211235/nitropack

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/8945bae7-2224-4d9f-b693-10c94c94dea0?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-11848

    CVE-2024-11848

    Título es
    CVE-2024-11848

    Mié, 15/01/2025 – 12:15

    Tipo
    CWE-862

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11848

    Descripción es
    El complemento NitroPack para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la acción AJAX 'nitropack_dismiss_notice_forever' en todas las versiones hasta la 1.17.0 inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias a un valor fijo de '1' que puede activar ciertas opciones (por ejemplo, habilitar el registro de usuario) o modificar ciertas opciones de una manera que conduzca a una condición de denegación de servicio.

    Descripción en
    The NitroPack plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'nitropack_dismiss_notice_forever' AJAX action in all versions up to, and including, 1.17.0. This makes it possible for authenticated attackers, with subscriber-level access and above, to update arbitrary options to a fixed value of '1' which can activate certain options (e.g., enable user registration) or modify certain options in a way that leads to a denial of service condition.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://plugins.trac.wordpress.org/changeset/3211235/nitropack

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/1e1b06d0-f348-4a8b-8730-a87d8e2ba2a1?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-4227

    CVE-2024-4227

    Título es
    CVE-2024-4227

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-834

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-4227

    Descripción en
    In Genivia gSOAP with a specific configuration an unauthenticated remote attacker can generate a high CPU load when forcing to parse an XML having duplicate ID attributes which can lead to a DoS.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://sourceforge.net/p/gsoap2/code/HEAD/tree/changelog.md

  • https://www.genivia.com/advisory.html#Upgrade_recommendation_when_option_-c++11_is_used_to_generate_C++11_source_code

    • Enviar en el boletín
    Off

    CVE-2024-11870

    CVE-2024-11870

    Título es
    CVE-2024-11870

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11870

    Descripción en
    The Event Registration Calendar By vcita plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's shortcodes in all versions up to, and including, 1.4.0 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/browser/event-registration-calendar-by-vcita/trunk/core/shortcodes.php#L129

  • https://plugins.trac.wordpress.org/browser/event-registration-calendar-by-vcita/trunk/core/shortcodes.php#L22

  • https://plugins.trac.wordpress.org/browser/event-registration-calendar-by-vcita/trunk/core/shortcodes.php#L50

  • https://plugins.trac.wordpress.org/browser/event-registration-calendar-by-vcita/trunk/core/shortcodes.php#L91

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/e8cadb97-2f3e-4b00-ad00-118cf23d1592?source=cve

    • Enviar en el boletín
    Off

    CVE-2025-0356

    CVE-2025-0356

    Título es
    CVE-2025-0356

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-78

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-0356

    Descripción en
    NEC Corporation Aterm WX1500HP Ver.1.4.2 and earlier and WX3600HP Ver.1.5.3 and earlier allows a attacker to execute arbitrary OS commands via the internet.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://jpn.nec.com/security-info/secinfo/nv25-003_en.html

    • Enviar en el boletín
    Off

    CVE-2025-0355

    CVE-2025-0355

    Título es
    CVE-2025-0355

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-306

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-0355

    Descripción en
    Missing Authentication for Critical Function vulnerability in NEC Corporation Aterm WG2600HS Ver.1.7.2 and earlier, WF1200CRS Ver.1.6.0 and earlier, WG1200CRS Ver.1.5.0 and earlier, GB1200PE Ver.1.3.0 and earlier, WG2600HP4 Ver.1.4.2 and earlier, WG2600HM4 Ver.1.4.2 and earlier, WG2600HS2 Ver.1.3.2 and earlier, WX3000HP Ver.2.4.2 and earlier and WX4200D5 Ver.1.2.4 and earlier allows a attacker to get a Wi-Fi password via the internet.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://jpn.nec.com/security-info/secinfo/nv25-003_en.html

    • Enviar en el boletín
    Off

    CVE-2025-0354

    CVE-2025-0354

    Título es
    CVE-2025-0354

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-0354

    Descripción en
    Cross-site scripting vulnerability in NEC Corporation Aterm WG2600HS Ver.1.7.2 and earlier, WG2600HP4 Ver.1.4.2 and earlier, WG2600HM4 Ver.1.4.2 and earlier, WG2600HS2 Ver.1.3.2 and earlier, WX3000HP Ver.2.4.2 and earlier and WX4200D5 Ver.1.2.4 and earlier allows a attacker to inject an arbitrary script via the internet.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.20

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://jpn.nec.com/security-info/secinfo/nv25-003_en.html

    • Enviar en el boletín
    Off

    CVE-2024-7322

    CVE-2024-7322

    Título es
    CVE-2024-7322

    Mié, 15/01/2025 – 08:15

    Tipo
    CWE-346

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-7322

    Descripción en
    A ZigBee coordinator, router, or end device may change their node ID when an unsolicited encrypted rejoin response is received, this change in node ID causes Denial of Service (DoS). To recover from this DoS, the network must be re-established

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://community.silabs.com/068Vm00000I7ri2

    • Enviar en el boletín
    Off

    CVE-2024-13334

    CVE-2024-13334

    Título es
    CVE-2024-13334

    Mié, 15/01/2025 – 04:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13334

    Descripción en
    The Car Demon plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'search_condition' parameter in all versions up to, and including, 1.8.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

    15/01/2025
    15/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/browser/car-demon/trunk/search/search-form.php

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/6d50b1c0-9687-4ce2-bfba-c2d6a2fc28dd?source=cve

    • Enviar en el boletín
    Off