Introducción Hoy en día, cada vez estamos todos más y más concienciados con dos temas: el cuidado de nuestras mascotas y la protección de nuestros datos personales. Pero, ¿podría ser que la mejora del primer aspecto afectase negativamente al segundo?… Continuar leyendo
En este post os muestro como encontré un Cross Site Scripting (XSS) Reflejado en uno de los subdominios de “General Motors“. Lo primero que hay que dejar claro es que una empresa que se encuentra afiliada a un programa de… Continuar leyendo
Comenzamos este reto accediendo a la URL http://casino.nn9ed.ka0labs.org (aún sigue disponible). Nada más entrar vemos una página web con una imagen de fondo de la luna. Lo primero que se nos ocurre es ver el código fuente y este nos da… Continuar leyendo
Esta vez hablaré de un path trasversal que encontré en un plugin bastante conocido pero he de decir que es un poco limitado ya que solo lista carpetas. Os dejo un vídeo en donde hice una POC Siento no poner… Continuar leyendo
Aunque la vulnerabilidad la localicé el año pasado. Mitre ha decidido asignármela este año 2018. El CVE se basa en un Cross-site scripting en el plugin «SagePay Server Gateway for WooCommerce» versión 1.0.7. Esta vulnerabilidad se encuentra en el parámetro… Continuar leyendo
Hace unos días conseguí finalmente contactar con el desarrollador del plugin «Z-URL Preview» donde le comentaba que tenia un Cross-site scripting en la versión 1.6.1. Esta vulnerabilidad se encuentra en el parámetro «url» en el archivo»/wp-content/plugins/z-url-preview/class.zlinkpreview.php» que como se puede comprobar… Continuar leyendo
Prosigo con Cross-site scripting dentro de plugins de Wordpres, en este caso el plugin es «Wunderbar Basic» versión 1.1.3. El fallo de seguridad se encuentra en el parámetro «home» en el archivo»wp-content/plugins/wunderbar-basic-wysiwyg-front-end-editor/wb-adminbar.php» que como se puede comprobar en la siguiente… Continuar leyendo
Hoy os hablaré de otro Cross-site scripting que he descubierto dentro del plugin «Pinterest Badge» versión 1.8.0. El fallo de seguridad se encuentra en el parámetro «uid» en el archivo»/wp-content/plugins/pinterest-badge/pinterestbadgedetails.php» que como se puede comprobar en la siguiente captura carece de los… Continuar leyendo
En este artículo os explicaré como crear un bot que te permita estar informado de los últimos CVEs que se están publicando al momento. Lo primero que tenemos que hacer es instalar nuestra librería de Telegram para pyhon haciendo uso… Continuar leyendo
Hoy os hablaré de otro Cross-site scripting que he descubierto el plugin «WP Mailster» versión 1.5.4.0 de la empresa Brandtoss (https://wpmailster.com/) El fallo de seguridad se encuentra en el parámetro mes en el archivo»wp-mailster/view/subscription/unsubscribe2.php» que como se puede comprobar en la siguiente captura… Continuar leyendo