Jose Alexis Correa Valencia, Author at AlterPlex

29 Mar 2025

CVE-2025-2266

Título es

CVE-2025-2266

Sáb, 29/03/2025 – 07:15

Tipo

CWE-862

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-2266

Descripción en

The Checkout Mestres do WP for WooCommerce plugin for WordPress is vulnerable to unauthorized modification of data that can lead to privilege escalation due to a missing capability check on the cwmpUpdateOptions() function in versions 8.6.5 to 8.7.5. This makes it possible for unauthenticated attackers to update arbitrary options on the WordPress site. This can be leveraged to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.

29/03/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)

9.80

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

CRITICAL

Referencias

https://plugins.trac.wordpress.org/browser/checkout-mestres-wp/trunk/backend/core/base/ajax.php#L31

https://wordpress.org/plugins/checkout-mestres-wp/

https://www.wordfence.com/threat-intel/vulnerabilities/id/9834fd5b-8445-4c6f-95f9-f0df785c65f8?source=cve

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-2840

Título es

CVE-2025-2840

Sáb, 29/03/2025 – 07:15

Tipo

CWE-200

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-2840

Descripción en

The DAP to Autoresponders Email Syncing plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.0 through the publicly accessible phpinfo.php script. This makes it possible for unauthenticated attackers to view potentially sensitive information contained in the exposed file.

29/03/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

5.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://plugins.trac.wordpress.org/browser/dap-to-autoresponders-daar/trunk/infusionsoft_src/phpinfo.php#L3

https://wordpress.org/plugins/dap-to-autoresponders-daar/#developers

https://www.wordfence.com/threat-intel/vulnerabilities/id/3ff90774-f5f6-4d9c-9565-1cff31f9bec4?source=cve

Enviar en el boletín

Off

29 Mar 2025

CVE-2024-11180

Título es

CVE-2024-11180

Sáb, 29/03/2025 – 08:15

Tipo

CWE-79

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-11180

Descripción en

The ElementsKit Elementor addons plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Countdown Timer Widget ekit_countdown_timer_title parameter in all versions up to, and including, 3.4.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

29/03/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

6.40

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://plugins.trac.wordpress.org/changeset/3190501/elementskit-lite/trunk/widgets/countdown-timer/countdown-timer.php

https://plugins.trac.wordpress.org/changeset/3262976/elementskit-lite/trunk/widgets/init/assets/js/elementor.js

https://www.wordfence.com/threat-intel/vulnerabilities/id/35969379-e668-4045-8de7-696f196ba5b0?source=cve

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31374

Título es

CVE-2025-31374

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31374

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31373

Título es

CVE-2025-31373

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31373

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31367

Título es

CVE-2025-31367

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31367

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31368

Título es

CVE-2025-31368

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31368

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31372

Título es

CVE-2025-31372

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31372

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31371

Título es

CVE-2025-31371

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31371

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

29 Mar 2025

CVE-2025-31370

Título es

CVE-2025-31370

Sáb, 29/03/2025 – 04:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-31370

Descripción en

Rejected reason: Not used

29/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

Autor: Jose Alexis Correa Valencia