Vulnerabilidades Enero 2018

Vulnerabilidades WordPress Tomás Sierra

Informe sobre últimas vulnerabilidades encontradas en WordPress

Inauguro esta sección para mantenerte informado/a de las últimas vulnerabilidades encontradas en WordPress.

Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.

 

Vulnerabilidades en PLUGINS

Vulnerabilidad –> Stored XSS

Plugins afectados:

BuddyBoss Media v3.2.3

BuddyBoss Media v3.2.3

Dark Mode v1.6

Dark Mode v1.6

¿Qué es Stored XSS (inyección de código almacenado)?

Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.

Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

Vulnerabilidad –> Authenticated Stored XSS & CSRF

Plugins afectados:

Pinterest feed 1.1.1

Pinterest feed 1.1.1

Coming Soon 1.1.18

Coming Soon 1.1.18

Booking calendar 2.1.7

Booking calendar 2.1.7

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

Vulnerabilidad –> Authenticated Stored XSS & CSRF

Plugins afectados:

Google forms 0.91

Google forms 0.91

Server Side Request Forgery (SSRF) se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)

 

Valórame, es gratis, solo te cuesta un click 

Vulnerabilidades Enero 2018

 

Recuerda suscribirte a mi lista de correo para estar informado de vulnerabilidades, videotutoriales, noticias, avisos de seguridad y muchas cosas más sobre seguridad en la red y en WordPress.

 

Tomás Sierra

Trabajo en el departamento de seguridad de Netkia (Grupo Pitma), soy desarrollador web, maestro y formador. Coorganizo la "WordCamp Santander" y el Congreso de Seguridad Informática “Sh3llcon”. Siempre me apasionó la informática y todo lo relacionado con internet. Comencé en el desarrollo web como freelance, dedicándole muchas horas de mi tiempo libre.Me interesé por la seguridad al comprobar la desprotección que sufrían los más pequeños en la red y comencé a formarme para ello. Descubrí WordPress en 2012 y desde ese instante he desarrollado muchos proyectos con este CMS en el que me he especializado y soy miembro activo de la comunidad intentando aportar mi granito de arena.

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Share This