Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva vulnerabilidad en popular complemento de WordPress expone más de 2 millones de sitios a ciberataques
  • Tecnología

Nueva vulnerabilidad en popular complemento de WordPress expone más de 2 millones de sitios a ciberataques

teknomers 6 de Mayıs de 2023 (Last updated: 6 de Mayıs de 2023) 3 minutes read
Nueva vulnerabilidad en popular complemento de WordPress expone más de


06 mayo 2023Ravie Lakshmanán

Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 luego del descubrimiento de una falla de seguridad.

El problema, al que se le asignó el identificador CVE-2023-30777, se relaciona con un caso de cross-site scripting (XSS) reflejado que podría abusarse para inyectar scripts ejecutables arbitrarios en sitios web que de otro modo serían benignos.

El complemento, que está disponible tanto en versión gratuita como profesional, tiene más de dos millones de instalaciones activas. El problema se descubrió y se informó a los mantenedores el 2 de mayo de 2023.

“Esta vulnerabilidad permite que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la ruta de URL manipulada”, dijo Rafie Muhammad, investigador de Patchstack. dicho.

La seguridad cibernética

XSS reflejado Los ataques generalmente ocurren cuando se engaña a las víctimas para que hagan clic en un enlace falso enviado por correo electrónico u otra ruta, lo que hace que el código malicioso se envíe al sitio web vulnerable, lo que refleja el ataque en el navegador del usuario.

Este elemento de ingeniería social significa que el XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas víctimas como sea posible.

“[A reflected XSS attack] suele ser el resultado de solicitudes entrantes que no se desinfectan lo suficiente, lo que permite la manipulación de las funciones de una aplicación web y la activación de scripts maliciosos”, dijo Imperva notas.

Complemento de WordPress

Vale la pena señalar que CVE-2023-30777 se puede activar en una instalación o configuración predeterminada de Campos personalizados avanzados, aunque solo es posible hacerlo desde usuarios registrados que tienen acceso al complemento.

El desarrollo se produce cuando Craft CMS parchó dos fallas XSS de gravedad media (CVE-2023-30177 y CVE-2023-31144) que podría ser explotado por un actor de amenazas para servir cargas maliciosas.

PRÓXIMO SEMINARIO WEB

Aprenda a detener el ransomware con protección en tiempo real

Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.

Guardar mi asiento!

También sigue la divulgación de otra falla XSS en el producto cPanel (CVE-2023-29489puntaje CVSS: 6.1) que podría explotarse sin ninguna autenticación para ejecutar JavaScript arbitrario.

“Un atacante no solo puede atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en los puertos 80 y 443”, Shubham Shah de Assetnote dichoagregarlo podría permitir que un adversario secuestre la sesión de cPanel de un usuario válido.

“Una vez que actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución del comando”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En vivo – Los expertos ven un aumento en los ataques contra Rusia • Kiev: no hay indicios de salida de las tropas de Wagner
Next: 20 años de “Get Rich Or Die Tryin'”: Toda la información sobre el “Final Lap Tour” de 50 Cent

Related Stories

Gracias a las rebajas, esta RTX 5070 con 12 Go
  • Tecnología

Gracias a las rebajas, esta RTX 5070 con 12 Go GDDR7 baja de los 600€

teknomers 10 de Temmuz de 2026
OpenAI recluta en París para integrar la publicidad en ChatGPT
  • Tecnología

OpenAI recluta en París para integrar la publicidad en ChatGPT

teknomers 10 de Temmuz de 2026
Este verano, el mismo gigabyte en roaming fuera de la
  • Tecnología

Este verano, el mismo gigabyte en roaming fuera de la UE puede costar de 2 hasta 13 000 euros según su operador.

teknomers 9 de Temmuz de 2026

You May Have Missed

  • General

Khamenei: Una Irán amargamente dividida enfrenta el legado de Ali Khamenei mientras es sepultado

teknomers 10 de Temmuz de 2026
  • General

Mientras los bombardeos se han reanudado, Irán entierra a Ali Khamenei, su hijo y nuevo Guía supremo aún invisible

teknomers 10 de Temmuz de 2026
Francia-Marruecos (2-0): «Los hemos devorado», Adrien Rabiot muy directo sobre
  • Deporte

Francia-Marruecos (2-0): «Los hemos devorado», Adrien Rabiot muy directo sobre el nivel de los marroquíes en cuartos de final

teknomers 10 de Temmuz de 2026
  • General

Irán entierra a Ali Khamenei en un santuario sagrado; nuevo Líder Supremo permanece fuera de la vista

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.