Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion

Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin. 

El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.

Puedes ver el video al final de esta publicación.

Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.

Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.

Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.

Puedes saber más acerca de esta vulnerabilidad en exploit-db.com

Aquí te dejo el video, espero que te guste

Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.

Valórame, es gratis, solo te cuesta un click [kkstarratings]