CVE-2024-12467

Description

The Pago por Redsys plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the ‘Ds_MerchantParameters’ parameter in all versions up to, and including, 1.0.12 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

References

https://www.wordfence.com/threat-intel/vulnerabilities/id/ed05cd81-ca21-41de-9b02-bd84498cd74e?source=cve

https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3215878%40pago-redsys-tpv-grafreak&new=3215878%40pago-redsys-tpv-grafreak&sfp_email=&sfph_mail=

https://plugins.trac.wordpress.org/browser/pago-redsys-tpv-grafreak/tags/1.0.13/public/partials/pago-redsys-grafreak-public-display.php#L82

https://plugins.trac.wordpress.org/browser/pago-redsys-tpv-grafreak/tags/1.0.13/includes/class-redsysapi.php#L263

مدیریت سرور پشتیبانی و ثبت دامنه – آفاق هاستینگ

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-54411 – Linux-PAM pam_userdb Plaintext Password Recovery Timing Vulnerability

CVE-2026-54410 – nanoMODBUS TCP Server Off-by-One Buffer Overflow

CVE-2026-11527 – Config::IniFiles versions before 3.001000 for Perl allow OS command injection and file overwrite via a 2-arg open() of the -file argument in _make_filehandle

CVE-2026-11526 – GD versions before 2.86 for Perl allow OS command injection and file overwrite via a 2-arg open() of filename arguments in _make_filehandle