Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
julio
(Total:
6
)
- Cellebrite logra desbloquear el iPhone 6 de Diana ...
- Estados Unidos lucha por la neutralidad de Interne...
- OutlawCountry: Wikileaks desvela el malware para L...
- Hackean la web de streaming Pordede.com
- Vulnerabilidad plugin WP Statistics afecta a más 3...
- MareNostrum 4 de Barcelona: el tercer superordenad...
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
308
)
Malware
(
267
)
Windows
(
246
)
android
(
246
)
tutorial
(
244
)
cve
(
240
)
manual
(
229
)
software
(
206
)
hardware
(
197
)
linux
(
128
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
76
)
hacking
(
74
)
sysadmin
(
68
)
app
(
65
)
Networking
(
58
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
51
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
27
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Arm Holdings Plc es una empresa británica dedicada al diseño de software y semiconductores . Con sede en Cambridge, Reino Unido, tiene una ...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Vulnerabilidad plugin WP Statistics afecta a más 300 mil sitios WordPress
miércoles, 5 de julio de 2017
|
Publicado por
el-brujo
|
Editar entrada
Se ha detectado una vulnerabilidad de inyección de SQL en el plugin WP Statistics utilizado por más de 300.000 sitios WordPress,
que en caso de ser explotada, daría a los atacantes la posibilidad de
robar las bases de datos para obtener datos sensibles y secuestrar los
sitios web a través de accesos no autorizados.
La vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.
Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario.
Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”
La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.
Según Sucuri, la vulnerabilidad de inyección de SQL en WP Statistics plugin afecta a múltiples funciones, incluyendo wp_statistics_searchengine_query ().
WordPress proporciona una API que permite a los desarrolladores crear contenido que los usuarios pueden colocar directamente en sus páginas mediante un código corto simple:
El plugin WP Statistics permite a los usuarios administrar información detallada relacionada con el número de visitas simplemente llamando al código corto siguiente:
La función no comprueba si hay privilegios adicionales, lo que permite a los suscriptores del sitio web ejecutar este código abreviado e inyectar código malicioso a sus atributos.
Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.
Fuentes:
http://muyseguridad.net/2017/07/04/vulnerabilidad-300-000-wordpress/
La vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.
Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario.
Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”
La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.
Según Sucuri, la vulnerabilidad de inyección de SQL en WP Statistics plugin afecta a múltiples funciones, incluyendo wp_statistics_searchengine_query ().
WordPress proporciona una API que permite a los desarrolladores crear contenido que los usuarios pueden colocar directamente en sus páginas mediante un código corto simple:
[Shortcode atts_1 = "test" atts_2 = "test"]
El plugin WP Statistics permite a los usuarios administrar información detallada relacionada con el número de visitas simplemente llamando al código corto siguiente:
La función no comprueba si hay privilegios adicionales, lo que permite a los suscriptores del sitio web ejecutar este código abreviado e inyectar código malicioso a sus atributos.
Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.
Fuentes:
http://muyseguridad.net/2017/07/04/vulnerabilidad-300-000-wordpress/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.