Por Mes

Abr 2022 Ene 2021 Dic 2020 Abr 2020 Mar 2020 Feb 2020 Ene 2020 Dic 2019 Nov 2019 Oct 2019 Anuncios Antiguos...   Ver RSS

  Por Mes

  Soporte

  Mis Tickets de Soporte   Anuncios   Preguntas Frecuentes - FAQ   Descargas   Estado de la Red   Abrir Ticket

Vulnerabilidad de alta severidad parcheada en el complemento Buscar y reemplazar en tiempo real.

  • Lunes, 27º Abril, 2020
  • 18:15pm

Esta entrada fue publicada en Investigación , Vulnerabilidades , Seguridad de WordPress el 27 de abril de 2020 por Chloe Chamberland

 

El 22 de abril de 2020, nuestro equipo de Inteligencia de amenazas descubrió una vulnerabilidad en Real-Time Find and Replace , un complemento de WordPress instalado en más de 100,000 sitios. Esta falla podría permitir a cualquier usuario inyectar Javascript malicioso en cualquier parte de un sitio si pudiera engañar al administrador de un sitio para que realice una acción, como hacer clic en un enlace en un comentario o correo electrónico.

Nos comunicamos con el desarrollador del complemento el 22 de abril de 2020, y lanzaron un parche solo unas horas después de que les revelamos la vulnerabilidad. Esto se considera un problema de seguridad de alta gravedad, por lo tanto, recomendamos encarecidamente una actualización inmediata a la última versión disponible, que en el momento de la redacción es la versión 4.0.2.

Los usuarios de Wordfence Premium y Free Wordfence están protegidos de los intentos de XSS contra esta vulnerabilidad mediante la protección XSS incorporada del firewall de Wordfence.

Descripción: falsificación de solicitud entre sitios para almacenar plugins
afectados de secuencias de comandos en sitios cruzados : Slug de complemento para buscar y reemplazar en tiempo real : versiones afectadas para encontrar y reemplazar en tiempo real : <= 3.9 ID de CVE: se actualizará una vez que se proporcione el identificador . Puntuación CVSS: 8.8 (Alta) Vector CVSS: CVSS: 3.0 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H Versión completamente parcheada: 4.0 .2





Buscar y reemplazar en tiempo real proporciona la funcionalidad para reemplazar dinámicamente cualquier contenido HTML en sitios de WordPress con contenido nuevo sin cambiar permanentemente el contenido de origen. Los datos de reemplazo se cargan inmediatamente antes de ser entregados al navegador del usuario. El complemento es muy fácil de usar debido a su funcionalidad limitada.

Para proporcionar esta funcionalidad, el complemento registra una página de submenú vinculada a la función far_options_pagecon un requisito de capacidad para " activate_plugins."

47
48
49
function far_add_pages() {
   $page = add_submenu_page( 'tools.php', 'Real-Time Find and Replace', 'Real-Time Find and Replace', 'activate_plugins', 'real-time-find-and-replace', 'far_options_page' );
   add_action( "admin_print_scripts-$page", "far_admin_scripts" );

La far_options_pagefunción contiene el núcleo de la funcionalidad del complemento para agregar nuevas reglas de búsqueda y reemplazo. Desafortunadamente, esa función no pudo utilizar la verificación nonce, por lo que la integridad de la fuente de una solicitud no se verificó durante la actualización de la regla, lo que resultó en una vulnerabilidad de falsificación de solicitudes entre sitios.

52
53
54
55
56
57
58
« Atrás

  Soporte

  Mis Tickets de Soporte   Anuncios   Preguntas Frecuentes - FAQ   Descargas   Estado de la Red   Abrir Ticket