Vulnerabilidad de Inyección de Contenido en WordPress

Como parte de un proyecto de investigación de vulnerabilidad para de Firewall Sucuri (WAF), Sucuri ha auditado múltiples proyectos de código abierto buscando problemas de seguridad. Mientras trabajábamos en WordPress, descubrimos una vulnerabilidad grave de inyección de contenido (escalamiento de privilegios) que afecta a la API REST. Esta vulnerabilidad permite a un usuario no autenticado modificar el contenido de cualquier post o página de …

Vulnerabilidad de Inyección de Contenido en WordPress Más info »

Vulnerabilidad WordPress: WordPress 3.4 – 4.7

El código vulnerable se encuentra en /wp-admin/includes/class-theme-installer-skin.php Entre las Líneas 68 – 81 Hay un parámetro $ name utilizado en el interior del contenido HTML. Esta es la definición de $ name variable. Se toma información del tema. Desde la perspectiva de un atacante , existe la posibilidad de poner la carga útil en esa pieza html.

Ir arriba