Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion
Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin.
El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.
Puedes ver el video al final de esta publicación.
Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.
Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.
Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.
Puedes saber más acerca de esta vulnerabilidad en exploit-db.com
Aquí te dejo el video, espero que te guste
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
View Comments (2)
Me encanta este tipo de post, te hace ver la importancia de la seguridad de una web.
Un saludo
Gracias Gerardo, eso intentamos, que sea rápido, preciso y que se comprenda fácilmente la velocidad con la que pueden hackearte al aprovechar alguna vulnerabilidad.
Me alegro que te guste, estate atento que vamos a crear muchos videos de estos ya que nos hemos dado cuenta de que no hay muchos por la red y mucho menos que sean actuales.
Un saludo