Categories
Wordpress

WordPress Seopress Plugin XSS Vulnerabilidad

WordFence, una compañía de software de seguridad de WordPress, publicó detalles sobre una vulnerabilidad en el popular Software de SOO de WordPress SEO. Antes de realizar el anuncio, WordFence comunicó los detalles de la vulnerabilidad a los editores de Seopress que solucionaron rápidamente el problema y publicaron un parche para solucionarlo.

Según WordFence:

“Esta falla hizo posible que un atacante inyectara scripts web arbitrarios en un sitio vulnerable que ejecutaría en cualquier momento que un usuario accediera a la página” Todos los mensajes “.”

Estados Unidos El sitio web de la base de datos de la vulnerabilidad nacional del gobierno enumera la clasificación de la vulnerabilidad de la CNA (Autoridad de Nombres CVE) de WordFence para la vulnerabilidad de la Seopress como una clasificación de nivel medio

y una puntuación de 6.4

en una escala de 1 a 10.

advertisementcontinue leyendo a continuación

La enumeración de debilidad se clasifica como:

SEOPress changelog

“Neutralización inadecuada de la entrada durante la generación de la página web (‘Scripts de sitio cruzado’)” SEOPress changelog La vulnerabilidad afecta a las versiones de Seopress 5.0.0 – 5.0.3.

¿Qué es la vulnerabilidad de la Seopress?

El registro oficial de Seopress Changelog no describió realmente la vulnerabilidad o Divulgar que había una vulnerabilidad. Esto no es una crítica de Seopress, solo estoy señalando que la Seopress describió el problema de los términos vómodos:

“Información de seguridad de fortalecimiento de información (

. Gracias a la palabra de la palabra) “

Captura de pantalla de Seopress Changelog

El problema que afecta a Seopress permite a cualquier usuario autenticado , con credenciales tan bajas como un subsc.Riber, podría actualizar el título y la descripción de cualquier publicación. Debido a que esta entrada fue insegura, ya que no desinfectó adecuadamente esta entrada para los scripts y otras cargas no intencionadas, un atacante podría cargar scripts maliciosos que luego podrían usarse como parte de un ataque de scripting de sitio cruzado.

AnuncioContinue leyendo a continuación

Aunque esta vulnerabilidad es calificada como media por la base de datos nacional de vulnerabilidad (posiblemente porque la vulnerabilidad afecta a los sitios que permiten registros de usuario, como los suscriptores), las advertencias de palabras se advierten que un atacante podría “fácilmente” asumir un sitio web vulnerable en las circunstancias enumeradas.

WordFence dijo esto sobre el script de páginas web (XSS):

“… vulnerabilidades de scripts de sitios tales como éste puedeConduce a una variedad de acciones maliciosas como la nueva creación de cuentas administrativas, inyección de cáscara web, redirecciones arbitrarias y más “.

Vulnerabilidades de scripting (XSS) Cross Scripts (XSS) Los vectores de ataque son típicamente en áreas donde alguien puede ingresar datos . En cualquier lugar que alguien pueda ingresar información, como un formulario de contacto, es una fuente potencial de una vulnerabilidad XSS.

Se supone que los desarrolladores de software “desinfectan” las entradas, lo que significa que se supone que deben verificar que lo que está siendo aportando No es algo que sea inesperado.

API de reposación Inseguro

Esta vulnerabilidad en particular afectó la entrada relacionada con el título y la descripción de una publicación. Específicamente, afectó lo que se conoce como la API de descanso de WordPress. La API de repuesto de WordPress es una interfaz THAl permite que los complementos de WordPress interactúen con WordPress. Con la API de reposo, un complemento puede interactuar con un sitio de WordPress y modificar las páginas web. La documentación de WordPress lo describe así: “Uso de la API de REST de WordPress Puede crear un complemento para proporcionar una experiencia de administración completamente nuevos para WordPress, construir una nueva experiencia de front-end interactiva, o llevar su contenido de WordPress a aplicaciones completamente separadas”. AdvertisementContinue Lectura a continuación Según la descripción de la palabra, el punto final de la API de REST DESCUENTE SEOPRESS se implementó de manera insegurada en que el complemento no desinfectó adecuadamente las entradas a través de este método. Citas Anuncio de vulnerabilidad de Seopress de WordFence NaciónAl ingreso a la base de datos de Vulnerabilidad en la Seopress almacenada en el sitio Cross-Scripting ISSU E Manual de API de repuesto de WordPress

Leave a Reply

Your email address will not be published. Required fields are marked *