CVE-2025-4335 ALT (8,8) CVSS3: 0,0 El connector Woocommerce Multiple Addresses per a WordPress és vulnerable a l'escalada de privilegis en totes les versions fins a la 1.0.7.1 inclosa. Això es deu a la insuficiència de restriccions en el metadatum de l'usuari que es pot actualitzar mitjançant la funció save_multiple_shipping_addresses(). Això permet [...]

CVE-2025-3844 CRÍTIC (9,8) CVSS3: 0,0 El connector PeproDev Ultimate Profile Solutions per a WordPress és vulnerable a l'omissió d'autenticació a les versions 1.9.1 a 7.5.2. Això es deu al fet que la funció handel_ajax_req() no té les restriccions adequades a la funcionalitat change_user_meta que permet establir un codi OTP i posteriorment [...]

CVE-2024-13418 ALT (8,8) CVSS3: 0,0 Diversos complements i/o temes per a WordPress són vulnerables a les càrregues arbitràries de fitxers a causa d'una comprovació de capacitat que falta a la funció ajaxUploadFonts() en diverses versions. Això permet que els atacants autenticats, amb accés de nivell de subscriptor o superior, carreguin fitxers [...]

CVE-2025-3746 CRÍTIC (9,8) CVSS3: 0,0 El connector d'inici de sessió sense OTP amb un sol toc per a WordPress és vulnerable a l'escalada de privilegis mitjançant la presa de control de comptes a les versions de la 2.0.14 a la 2.0.59. Això es deu al fet que el connector no valida [...]

CVE-2024-13738 ALT (7,3) CVSS3: 0,0 El tema The Motors - Car Dealer, Rental & Listing per a WordPress és vulnerable a l'execució arbitrària de missatgeria shortcode en totes les versions fins a la 5.6.65 inclosa. Això es deu al fet que el programari permet que usuaris executin una acció que no [...]

CVE-2025-3918 CRÍTIC (9,8) CVSS3: 0,0 El connector Job Listings per a WordPress és vulnerable a l'escalada de privilegis a causa d'una autorització incorrecta dins de la funció register_action() a les versions 0.1 a 0.1.1. El controlador de registre del connector llegeix el $_POST['user_role'] proporcionat pel client i el passa directament a [...]

CVE-2025-4214 ALT (7,3) CVSS3: 0,0 S'ha trobat una vulnerabilitat al sistema de gestió de reserves PHPGuruku Online DJ 1.0 i s'ha classificat com a crítica. Aquest problema afecta alguns processaments desconeguts del fitxer /admin/booking-bwdates-reports-details.php. La manipulació de l'argument fromdate provoca una injecció SQL. L'atac es pot iniciar de forma remota. L'explotador [...]

CVE-2025-46348 CRÍTIC (10,0) CVSS3: 8,3 YesWiki és un sistema wiki escrit en PHP. Abans de la versió 4.5.4, la sol·licitud per iniciar una còpia de seguretat del lloc es podia fer i descarregar sense autenticació. Els arxius es creen amb un nom de fitxer predictible, de manera que un usuari maliciós [...]

CVE-2025-3606 ALT (7,5) CVSS3: 6,5 El carregador de corrent altern Vestel podria permetre que un atacant remot obtingués informació confidencial, causada per l'exposició d'informació confidencial del sistema a una esfera de control no autoritzada. Sistemes Afectats Vestel AC Charger EVC04 - 3.75.0 Remediació Actualitzeu a la darrera versió dels [...]

CVE-2025-1294) ALT (7,2) CVSS3: 0,0 El connector eForm - WordPress Form Builder per a WordPress és vulnerable a una injecció indirecta de scripts emmagatzemats en totes les versions fins a la 4.18.0 inclosa, a causa d'un sanejament insuficient de l'entrada i d'una escapada de sortida. Això permet que els atacants no [...]