Informe sobre últimas vulnerabilidades encontradas en WordPress
Estas son las últimas vulnerabilidades encontradas en WordPress.
Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Unauthenticated Stored XSS
Plugins afectados:
Events Manager v5.8.1.1
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.
La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin
¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo
Vulnerabilidad –> Cross-Site Scripting (XSS)
Plugins afectados:
Duplicator v1.2.32
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Informe sobre últimas vulnerabilidades encontradas en WordPress
Inauguro esta sección para mantenerte informado/a de las últimas vulnerabilidades encontradas en WordPress.
Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Stored XSS
Plugins afectados:
BuddyBoss Media v3.2.3
Dark Mode v1.6
¿Qué es Stored XSS (inyección de código almacenado)?
Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.
Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Vulnerabilidad –> Authenticated Stored XSS & CSRF
Plugins afectados:
Pinterest feed 1.1.1
Coming Soon 1.1.18
Booking calendar 2.1.7
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Vulnerabilidad –> Authenticated Stored XSS & CSRF
Plugins afectados:
Google forms 0.91
Server Side Request Forgery (SSRF) se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Evita que te engañen
Listado de posibles Fraudes y tiendas falsas en la red.
