Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los hackers explotaron la falla del marco de Krpano para inyectar anuncios de spam en más de 350 sitios web
  • Tecnología

Los hackers explotaron la falla del marco de Krpano para inyectar anuncios de spam en más de 350 sitios web

teknomers 26 de Şubat de 2025 (Last updated: 26 de Şubat de 2025) 5 minutes read
Los hackers explotaron la falla del marco de Krpano para


Una vulnerabilidad de secuencias de comandos de sitios (XSS) en un marco de gira virtual ha sido armado por actores maliciosos para inyectar guiones maliciosos en cientos de sitios web con el objetivo de manipular los resultados de búsqueda y alimentar una campaña de anuncios de spam a escala.

El investigador de seguridad Oleg Zaytsev, en un informe compartido con The Hacker News, dijo la campaña, doblada 360xss – Afectó a más de 350 sitios web, incluidos portales gubernamentales, sitios del gobierno estatal de los Estados Unidos, universidades estadounidenses, cadenas hoteleras principales, medios de comunicación, concesionarios de automóviles y varias compañías Fortune 500.

“Esto no fue solo una operación de spam”, el investigador dicho. “Fue un abuso a escala industrial de dominios de confianza”.

Todos estos sitios web tienen una cosa en común: un marco popular llamado Krpano Eso se usa para incrustar imágenes y videos de 360 ​​° para facilitar los recorridos virtuales interactivos y las experiencias de realidad virtual.

Zaytsev dijo que se topó con la campaña después de encontrarse con un anuncio relacionado con la pornografía que figura en la búsqueda de Google pero con un dominio asociado con la Universidad de Yale (“VirtualTour.quantuminstitute.yale[.]edu “).

Ciberseguridad

Un aspecto notable de estas URL es un parámetro XML diseñado para redirigir al visitante del sitio a una segunda URL que pertenece a otro sitio web legítimo, que luego se utiliza para ejecutar una carga útil codificada Base64 a través de un documento XML. La carga útil decodificada, por su parte, obtiene la URL objetivo (es decir, el anuncio) de otro sitio legítimo.

El parámetro XML aprobado en la URL original que se sirve en los resultados de búsqueda es parte de una configuración más amplia llamada “PassQueryParameters” eso es usado cuando incrustando un espectador de Krpano Panorama en una página HTML. Está específicamente diseñado para pasar los parámetros HTTP de la URL al espectador.

El problema de seguridad aquí es que si la opción está habilitada, abre la puerta a un escenario en el que un atacante podría usar una URL especialmente elaborada para ejecutar un guión malicioso en el navegador web de una víctima cuando se visite el sitio vulnerable.

De hecho, se reveló una falla de XSS reflejada como resultado de este comportamiento en Krpano a fines de 2020 (CVE-2020-24901Puntaje CVSS: 6.1), lo que indica que el potencial de abuso ha sido conocido públicamente por más de cuatro años.

Mientras que una actualización introducida en la versión 1.20.10 “PassQueryParameters” restringida a una lista de algodín en un intento de evitar que se produjeran tales ataques XSS, Zaytsev descubrió que agregó explícitamente el parámetro XML a la lista de alquiler reintrodujo el riesgo de XSS.

“Desde la versión 1.20.10, la instalación predeterminada de Krpano no fue vulnerable”, dijo el investigador a The Hacker News por correo electrónico. “Sin embargo, la configuración de PassQueryParameter en combinación con el parámetro XML permitió la configuración XML externa a través de la URL, lo que lleva a un riesgo de XSS”.

“Las versiones explotadas que he encontrado fueron principalmente las más antiguas, anteriores a la versión 1.20.10”.

La campaña, según Zaytsev, ha aprovechado esta debilidad para secuestrar más de 350 sitios para publicar anuncios incompletos relacionados con pornografía, suplementos de dieta, casinos en línea y sitios de noticias falsas. Además, algunas de estas páginas han sido armadas para aumentar las vistas de video de YouTube.

La campaña es notable, sobre todo porque abusa de la confianza y la credibilidad de los dominios legítimos para aparecer prominentemente en los resultados de búsqueda, una técnica llamada Comenzamiento de optimización de motores de búsqueda (SEO)que, a su vez, se logra abusando de la falla XSS.

“Un XSS reflejado es una vulnerabilidad divertida, pero por sí solo requiere la interacción del usuario, y uno de los mayores desafíos es hacer que las personas hagan clic en su enlace XSS reflejado”, dijo Zaytsev. “Por lo tanto, usar los motores de búsqueda como plataforma de distribución para su XSS es una forma muy creativa y genial de hacerlo”.

Ciberseguridad

Después de la divulgación responsable, la última versión de Krpano elimina el soporte para la configuración externa a través del parámetro XML, mitigando así el riesgo de ataques XSS incluso cuando se usa la configuración.

“Seguridad mejorada de incrustpano () passQueryParameters: las URL de datos y las URL externas generalmente no están permitidas ya que los valores de los parámetros y las URL para el parámetro XML están limitadas para estar dentro de la estructura de la carpeta actual”, según el notas de lanzamiento Para la versión 1.22.4 lanzada esta semana.

Actualmente no se sabe quién está detrás de la operación masiva, aunque el abuso de un defecto de XSS para servir solo redirige, en lugar de llevar a cabo ataques más nefastos como credenciales o robo de cookies, plantea la posibilidad de una empresa publicitaria con prácticas cuestionables que sirven a estos anuncios como una estrategia de monetización.

Se recomienda a los usuarios de Krpano que actualicen sus instalaciones a la última versión y establezcan la configuración “PassQueryParameters” en FALSO. Se recomienda a los propietarios de sitios web afectados para encontrar y eliminar páginas infectadas a través de la consola de búsqueda de Google.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cole Palmer nombró al futbolista más sexy de 2025 como estrella del Chelsea unido por Cristiano Ronaldo y Jude Bellingham en el Top 10
Next: MKE Ankaragücü-Corendon Alanyaspor Match Live Stream (Copa Ziraat Türkiye)

Related Stories

Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026

You May Have Missed

« Me sorprende que aún estemos así »: dos jugadores
  • Deporte

« Me sorprende que aún estemos así »: dos jugadores españoles defienden a los Bleus tras los comentarios racistas de su antiguo Primer Ministro

teknomers 13 de Temmuz de 2026
  • Cultura

« Hace soñar al mundo entero »: el gran concierto de París para el 14 de julio será transmitido en 70 países

teknomers 13 de Temmuz de 2026
Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
"Se utilizará para las operaciones del tórax y para los
  • salud

“Se utilizará para las operaciones del tórax y para los niños…”: ¿por qué este centro hospitalario de este departamento rural se equipa con un robot quirúrgico?

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.