XSS archivos - SecurityTrooper

0

Mi primer CVE del 2018 CVE-2018-5316

Publicada en enero 10, 2018 por adm1n

Aunque la vulnerabilidad la localicé el año pasado. Mitre ha decidido asignármela este año 2018. El CVE se basa en un Cross-site scripting en el plugin «SagePay Server Gateway for WooCommerce» versión 1.0.7. Esta vulnerabilidad se encuentra en el parámetro… Continuar leyendo →

0

Z-URL Preview (XSS) CVE-2017-18012

Publicada en diciembre 21, 2017 por adm1n

Hace unos días conseguí finalmente contactar con el desarrollador del plugin «Z-URL Preview» donde le comentaba que tenia un Cross-site scripting en la versión 1.6.1. Esta vulnerabilidad se encuentra en el parámetro «url» en el archivo»/wp-content/plugins/z-url-preview/class.zlinkpreview.php» que como se puede comprobar… Continuar leyendo →

0

Wunderbar Basic (XSS)

Publicada en diciembre 20, 2017 por adm1n

Prosigo con Cross-site scripting dentro de plugins de Wordpres, en este caso el plugin es «Wunderbar Basic» versión 1.1.3. El fallo de seguridad se encuentra en el parámetro «home» en el archivo»wp-content/plugins/wunderbar-basic-wysiwyg-front-end-editor/wb-adminbar.php» que como se puede comprobar en la siguiente… Continuar leyendo →

0

Pinterest Badge (XSS)

Publicada en diciembre 19, 2017 por adm1n

Hoy os hablaré de otro Cross-site scripting que he descubierto dentro del plugin «Pinterest Badge» versión 1.8.0. El fallo de seguridad se encuentra en el parámetro «uid» en el archivo»/wp-content/plugins/pinterest-badge/pinterestbadgedetails.php» que como se puede comprobar en la siguiente captura carece de los… Continuar leyendo →

0

WP Mailster (XSS) CVE-2017-17451

Publicada en diciembre 12, 2017 por adm1n

Hoy os hablaré de otro Cross-site scripting que he descubierto el plugin «WP Mailster» versión 1.5.4.0 de la empresa Brandtoss (https://wpmailster.com/) El fallo de seguridad se encuentra en el parámetro mes en el archivo»wp-mailster/view/subscription/unsubscribe2.php» que como se puede comprobar en la siguiente captura… Continuar leyendo →

0

Emag Marketplace (XSS) CVE-2017-17043

Publicada en diciembre 11, 2017 por adm1n

Un nuevo Cross-site scripting se me presenta en el plugin «Emag Marketplace Connector» versión 1.0.1 de la empresa Zitec (https://zitec.com/).

0

Duplicator Migration (XSS) CVE-2017-16815

Publicada en diciembre 10, 2017 por adm1n

Sigo encontrando Cross-site scripting en plugins de wordpress, voy a tener que automatizarlo de alguna manera :). En este caso en un plugin llamado «Duplicator Migration» versión 1.2.28

0

2kb Amazon Affiliates Store (XSS) CVE-2017-14622

Publicada en diciembre 9, 2017 por adm1n

Localizado un Cross-site scripting en el plugin «2kb Amazon Affiliates Store» versión 2.1.0 de wordpress (https://es.wordpress.org/plugins/2kb-amazon-affiliates-store/).

0

Mi primer Cross-site scripting CVE-2017-9085

Publicada en diciembre 8, 2017 por adm1n

Haciendo una auditoría web (caja blanca) legal de un cliente, me encontré frente a un portal Kodak InSite versión 8.0.