-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
julio
(Total:
6
)
-
Cellebrite logra desbloquear el iPhone 6 de Diana ...
-
Estados Unidos lucha por la neutralidad de Interne...
-
OutlawCountry: Wikileaks desvela el malware para L...
-
Hackean la web de streaming Pordede.com
-
Vulnerabilidad plugin WP Statistics afecta a más 3...
-
MareNostrum 4 de Barcelona: el tercer superordenad...
-
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Entradas populares
-
Conectarse a un dispositivo remoto, ver lo que le ocurre y hasta controlarlo a distancia son tres de las cualidades que poseen aplicacione... -
Aunque emiten radiación internamente, están diseñadas con materiales de protección que evitan emisiones externas, haciendo que sean seguras... -
Hace unos días, recogíamos que la Universidad de Columbia expulsó a un estudiante que creó una herramienta de IA que ayuda a los candidatos...
Vulnerabilidad plugin WP Statistics afecta a más 300 mil sitios WordPress
Se ha detectado una vulnerabilidad de inyección de SQL en el plugin WP Statistics utilizado por más de 300.000 sitios WordPress,
que en caso de ser explotada, daría a los atacantes la posibilidad de
robar las bases de datos para obtener datos sensibles y secuestrar los
sitios web a través de accesos no autorizados.
La vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.
Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario.
Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”
La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.
Según Sucuri, la vulnerabilidad de inyección de SQL en WP Statistics plugin afecta a múltiples funciones, incluyendo wp_statistics_searchengine_query ().
WordPress proporciona una API que permite a los desarrolladores crear contenido que los usuarios pueden colocar directamente en sus páginas mediante un código corto simple:
El plugin WP Statistics permite a los usuarios administrar información detallada relacionada con el número de visitas simplemente llamando al código corto siguiente:
La función no comprueba si hay privilegios adicionales, lo que permite a los suscriptores del sitio web ejecutar este código abreviado e inyectar código malicioso a sus atributos.
Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.
Fuentes:
http://muyseguridad.net/2017/07/04/vulnerabilidad-300-000-wordpress/
La vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.
Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario.
Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”
La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.
Según Sucuri, la vulnerabilidad de inyección de SQL en WP Statistics plugin afecta a múltiples funciones, incluyendo wp_statistics_searchengine_query ().
WordPress proporciona una API que permite a los desarrolladores crear contenido que los usuarios pueden colocar directamente en sus páginas mediante un código corto simple:
[Shortcode atts_1 = "test" atts_2 = "test"]
El plugin WP Statistics permite a los usuarios administrar información detallada relacionada con el número de visitas simplemente llamando al código corto siguiente:
La función no comprueba si hay privilegios adicionales, lo que permite a los suscriptores del sitio web ejecutar este código abreviado e inyectar código malicioso a sus atributos.
Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.
Fuentes:
http://muyseguridad.net/2017/07/04/vulnerabilidad-300-000-wordpress/
Entradas relacionadas:
Plugins oficiales de WordPress contienen puerta trasera en un ataque a la cadena de s...
Vulnerabilidad crítica en plugin WP-Automatic
Vulnerabilidad crítica en plugin de WordPress Backup Migration
Actualización de seguridad 6.2.1 para WordPress
Absuelven informático denunciado por reportar agujero de seguridad
jSQL Injection: herramienta automatizada en Java para realizar ataques inyección SQL
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.