{"id":2570,"date":"2024-01-04T19:55:17","date_gmt":"2024-01-04T19:55:17","guid":{"rendered":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/"},"modified":"2024-01-04T19:55:17","modified_gmt":"2024-01-04T19:55:17","slug":"tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/","title":{"rendered":"TJ Shortcodes 0.1.3 &#8211; Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode"},"content":{"rendered":"<div>En este art\u00edculo se aborda la vulnerabilidad de TJ Shortcodes en su versi\u00f3n 0.1.3, la cual permite la ejecuci\u00f3n de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las p\u00e1ginas afectadas.<\/div>\n<p><\/p>\n<div>El plugin TJ Shortcodes para WordPress presenta una falta de sanitizaci\u00f3n de entrada y de escape de salida en los atributos suministrados por los usuarios, lo cual permite la inyecci\u00f3n de scripts web maliciosos en las p\u00e1ginas del sitio. Un atacante autenticado, con permisos de contributor o superior, puede aprovechar esta vulnerabilidad para insertar scripts que se ejecutar\u00e1n cada vez que un usuario acceda a una de las p\u00e1ginas afectadas.<\/p>\n<p>Para subsanar este problema se recomienda actualizar el plugin a la \u00faltima versi\u00f3n disponible, la cual ya incluye las medidas de seguridad necesarias. Asimismo, es importante que los administradores del sitio web revisen la configuraci\u00f3n de los permisos de los usuarios para limitar o ajustar los permisos seg\u00fan sea necesario.<\/p><\/div>\n<div>La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en TJ Shortcodes 0.1.3 representa un riesgo significativo para los sitios web que utilicen este plugin desactualizado. Es fundamental mantener todos los plugins y temas actualizados y realizar revisiones peri\u00f3dicas de seguridad para identificar posibles vulnerabilidades y aplicar las soluciones correspondientes. Adem\u00e1s, es esencial seguir las mejores pr\u00e1cticas de seguridad, como limitar los permisos de los usuarios y validar y sanitizar adecuadamente los datos de entrada.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>En este art\u00edculo se aborda la vulnerabilidad de TJ Shortcodes en su versi\u00f3n 0.1.3, la cual permite la ejecuci\u00f3n de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[323],"class_list":["post-2570","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-6530"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.8 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este art\u00edculo se aborda la vulnerabilidad de TJ Shortcodes en su versi\u00f3n 0.1.3, la cual permite la ejecuci\u00f3n de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-04T19:55:17+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/\",\"url\":\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/\",\"name\":\"TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-04T19:55:17+00:00\",\"dateModified\":\"2024-01-04T19:55:17+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"TJ Shortcodes 0.1.3 &#8211; Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/","og_locale":"en_US","og_type":"article","og_title":"TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es","og_description":"En este art\u00edculo se aborda la vulnerabilidad de TJ Shortcodes en su versi\u00f3n 0.1.3, la cual permite la ejecuci\u00f3n de ataques de Cross-Site Scripting (XSS) almacenado cuando se utiliza el shortcode del plugin. Esta vulnerabilidad afecta a usuarios autenticados con permisos de nivel de contributor o superior, quienes pueden inyectar scripts web arbitrarios en las [&hellip;]","og_url":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-04T19:55:17+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/","url":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/","name":"TJ Shortcodes 0.1.3 - Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-04T19:55:17+00:00","dateModified":"2024-01-04T19:55:17+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/tj-shortcodes-0-1-3-cross-site-scripting-xss-almacenado-autenticado-contributor-mediante-shortcode\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"TJ Shortcodes 0.1.3 &#8211; Cross-Site Scripting (XSS) almacenado autenticado (Contributor+) mediante shortcode"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2570"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2570"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2570\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2570"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}