Los complementos Post Grid y Team Showcase contienen vulnerabilidades - ES

por   |  Última actualización:  |  0 Comentarios  

En esta página: [esconder]

  1. Vulnerabilidades del complemento Post Grid y Team Showcase

vulnerabilidades en la cuadrícula de publicaciones y los complementos de wordpress de exhibición de equiposA mediados de septiembre, investigadores de seguridad en Wordfence (Desafiante) descubrió dos vulnerabilidades graves en Post Grid. Post Grid es un complemento de WordPress con más de 60,000 instalaciones, desarrollado por PickPlugins.

Durante el análisis, el equipo descubrió vulnerabilidades casi idénticas en Team Showcase, otro complemento desarrollado por el mismo autor. Team Showcase ha terminado 6,000 instalaciones.
La buena noticia es que los desarrolladores de complementos lanzaron parches solo unas horas después de revelar las fallas..

Vulnerabilidades del complemento Post Grid y Team Showcase

El primer complemento permite a los usuarios mostrar sus publicaciones en un diseño de cuadrícula, mientras que Team Showcase muestra los miembros del equipo de una organización. Ambos complementos permitieron la importación de diseños personalizados, con funcionalidades casi idénticas. Aunque Post Grid no usó la función de importación vulnerable, todavía contenía el código defectuoso, haciéndolo vulnerable.

Un atacante que haya iniciado sesión podría explotar ambos complementos con permisos mínimos en secuencias de comandos almacenadas entre sitios. (XSS) ataques. El exploit podría realizarse enviando una solicitud AJAX específica.
Las versiones afectadas son Post Grid < 2.0.73 and Team Showcase < 1.22.16. The other vulnerabilities affecting both plugins could trigger PHP Object injection. The same layout functions posed the risk of PHP Object injection via the same method used in the cross-site scripting attack. This was possible thanks to the vulnerable functions, which unserialized the payload supplied in the source parameter. This flaw also required an attacker to have minimal privileges, such as a subscriber lever. “sin embargo, los sitios que usan un complemento o tema que permitiera a los visitantes no autenticados ejecutar códigos cortos arbitrarios serían vulnerables a atacantes no autenticados,"Wordfence dice.

Cómo mantenerse protegido?
Si su sitio de WordPress utiliza alguno de estos complementos, debe actualizar a las últimas versiones inmediatamente. Actualmente, la última versión de Post Grid es 2.0.73, mientras que la versión más reciente de Team Showcase es 1.22.16.

Si necesita más detalles técnicos sobre las fallas, puedes referirte a los hallazgos originales.

Investigado y creado por:
Krum Popov
Apasionado emprendedor web, ha estado elaborando proyectos web desde 2007. En 2020, fundó HTH.Guide, una plataforma visionaria dedicada a agilizar la búsqueda de la solución de alojamiento web perfecta.. Leer más...
Revisado técnicamente por:
Metod Ivanov
Experto experimentado en desarrollo web con 8+ años de experiencia, incluyendo conocimientos especializados en entornos de hosting. Su experiencia garantiza que el contenido cumple con los más altos estándares de precisión y se alinea perfectamente con las tecnologías de alojamiento.. Leer más...

No hay publicaciones relacionadas.

Dejar un comentario

su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *

Este sitio está protegido por reCAPTCHA y Google Política de privacidad y Términos de servicio aplicar.

Este sitio web utiliza cookies para mejorar la experiencia del usuario. Al usar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestro Política de privacidad.
Estoy de acuerdo
En HTH.Guide, Ofrecemos revisiones transparentes de alojamiento web., asegurar la independencia de influencias externas. Nuestras evaluaciones son imparciales ya que aplicamos estándares estrictos y consistentes a todas las revisiones..
Si bien podemos ganar comisiones de afiliados de algunas de las empresas destacadas, Estas comisiones no comprometen la integridad de nuestras reseñas ni influyen en nuestras clasificaciones..
Los ingresos del afiliado contribuyen a cubrir la adquisición de la cuenta., gastos de prueba, mantenimiento, y desarrollo de nuestro sitio web y sistemas internos.
Confíe en HTH.Guide para obtener sinceridad y conocimientos fiables sobre alojamiento.