XSS en WordPress Plugin Duplicator

Iniciado por wolfbcn, 26 Marzo 2018, 02:03 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Permite que código arbitrario javascript pueda ser ejecutado en el lado del cliente si un atacante persuade a la víctima para que pulse sobre la URL bajo el control de éste.

El plugin Duplicator realiza la migración de datos al vuelo entre hosts que tengan instalado el CMS WordPress. Permite tanto backups completos del sitio como partes del mismo.

Simplemente con instalarlo y a golpe de ratón, los usuarios que tengan su blog u ofrezcan algún tipo de servicio pueden utilizarlo para por ejemplo, mover su sitio a otro hosting que le ofrezca un mejor precio.

Como has podido deducir, un gran número de sitios tienen este tipo de plugins. En este caso el Plugin Duplicator tiene según el autor +1 millón de instalaciones. La versión afectada es la 1.2.32 (aunque es probable que las anteriores también lo sean).

Según en las instrucciones de la web del autor, la ruta de instalación se encuentra en:

Ver más: http://unaaldia.hispasec.com/2018/03/xss-en-wordpress-plugin-duplicator.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.