{"id":2608,"date":"2024-01-09T16:55:46","date_gmt":"2024-01-09T16:55:46","guid":{"rendered":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/"},"modified":"2024-01-09T16:55:46","modified_gmt":"2024-01-09T16:55:46","slug":"list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/","title":{"rendered":"List category posts <= 0.89.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode"},"content":{"rendered":"
En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en p\u00e1ginas web, lo que puede conducir a ataques de Cross-Site Scripting.<\/div>\n

<\/p>\n

El plugin List category posts para WordPress, en sus versiones anteriores y hasta la 0.89.3, es vulnerable a ataques de Cross-Site Scripting almacenado debido a la insuficiente sanitizaci\u00f3n de entrada y escape de salida en los atributos proporcionados por los usuarios. Esto significa que un atacante autenticado puede insertar scripts web arbitrarios en las p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a ellas.<\/p>\n

Esta vulnerabilidad puede tener consecuencias graves, ya que el atacante podr\u00eda robar informaci\u00f3n confidencial del usuario, redirigirlos a sitios web maliciosos o incluso tomar el control completo de su cuenta.<\/p>\n

Para subsanar este problema, se recomienda a los usuarios afectados actualizar el plugin a la \u00faltima versi\u00f3n disponible, que soluciona esta vulnerabilidad. Adem\u00e1s, es importante mantener todos los plugins y temas de WordPress actualizados regularmente para prevenir futuras vulnerabilidades.<\/p>\n

Adicionalmente, se aconseja a los administradores del sitio implementar pol\u00edticas de seguridad s\u00f3lidas, como la autenticaci\u00f3n de dos factores y la limitaci\u00f3n de los permisos de los usuarios para reducir la exposici\u00f3n a estos ataques.<\/p><\/div>\n

La vulnerabilidad de Cross-Site Scripting almacenado en el plugin List category posts para WordPress es un problema de seguridad grave que puede permitir a los atacantes inyectar c\u00f3digo malicioso en p\u00e1ginas web. Para evitar ser v\u00edctima de ataques, es fundamental mantener todos los componentes de WordPress actualizados y seguir buenas pr\u00e1cticas de seguridad en la configuraci\u00f3n del sitio. Al ser conscientes de los riesgos y tomar medidas preventivas, los usuarios pueden protegerse y mantener su sitio web seguro.<\/div>\n","protected":false},"excerpt":{"rendered":"

En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en p\u00e1ginas web, lo que puede conducir a ataques de Cross-Site Scripting. El plugin List category posts […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[347],"class_list":["post-2608","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-6994"],"yoast_head":"\nList category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"List category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en p\u00e1ginas web, lo que puede conducir a ataques de Cross-Site Scripting. El plugin List category posts […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-09T16:55:46+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/\",\"url\":\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/\",\"name\":\"List category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-09T16:55:46+00:00\",\"dateModified\":\"2024-01-09T16:55:46+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"List category posts <= 0.89.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"List category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/","og_locale":"en_US","og_type":"article","og_title":"List category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es","og_description":"En este informe de seguridad, detallaremos una vulnerabilidad encontrada en el plugin List category posts para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2023-6994, permite a atacantes autenticados con permisos de nivel contributor o superior inyectar scripts maliciosos en p\u00e1ginas web, lo que puede conducir a ataques de Cross-Site Scripting. El plugin List category posts […]","og_url":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-09T16:55:46+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/","url":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/","name":"List category posts <= 0.89.3 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-09T16:55:46+00:00","dateModified":"2024-01-09T16:55:46+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/list-category-posts-0-89-3-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-shortcode\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"List category posts <= 0.89.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de Shortcode"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2608"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2608"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2608\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2608"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}