{"id":2639,"date":"2024-01-12T14:56:10","date_gmt":"2024-01-12T14:56:10","guid":{"rendered":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/"},"modified":"2024-01-12T14:56:10","modified_gmt":"2024-01-12T14:56:10","slug":"voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/","title":{"rendered":"Voting Record &lt;= 2.0 &#8211; Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting"},"content":{"rendered":"<div>En este art\u00edculo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versi\u00f3n 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuraci\u00f3n del plugin e inyectar c\u00f3digo JavaScript, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n como hacer clic en un enlace. En esta entrada, exploraremos los detalles de esta vulnerabilidad y ofreceremos soluciones para mitigar el problema.<\/div>\n<p><\/p>\n<div>El plugin Voting Record para WordPress es vulnerable a ataques de tipo Cross-Site Request Forgery en todas las versiones hasta la 2.0. La vulnerabilidad radica en la falta de validaci\u00f3n de nonce en una funci\u00f3n desconocida. Esto permite que atacantes no autenticados puedan actualizar la configuraci\u00f3n del plugin e inyectar c\u00f3digo JavaScript. Para explotar esta vulnerabilidad, los atacantes deben enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n sin su consentimiento, como hacer clic en un enlace malicioso.<\/p>\n<p>Esta vulnerabilidad tiene un impacto desconocido, lo que significa que no se ha determinado claramente qu\u00e9 consecuencias puede tener en un sitio web vulnerable.<\/p>\n<p>Para mitigar esta vulnerabilidad, recomendamos a los usuarios seguir estas soluciones:<\/p>\n<p>1. Actualizar el plugin Voting Record a su \u00faltima versi\u00f3n disponible.<br \/>\n2. Establecer pol\u00edticas de seguridad para no hacer clic en enlaces no confiables o proporcionar credenciales de acceso a sitios desconocidos o sospechosos.<br \/>\n3. Monitorizar regularmente el sitio web en busca de cambios inesperados en la configuraci\u00f3n o la aparici\u00f3n de contenido no deseado.<br \/>\n4. Utilizar un cortafuegos y un esc\u00e1ner de seguridad para detectar y bloquear posibles ataques.<\/p>\n<p>Adoptar estas medidas ayudar\u00e1 a proteger su sitio web contra este tipo de ataques y garantizar\u00e1 que su configuraci\u00f3n y contenido no sean modificados sin autorizaci\u00f3n.<\/p><\/div>\n<div>La vulnerabilidad de Cross-Site Request Forgery en el plugin Voting Record para WordPress representa un riesgo potencial para la seguridad de los sitios web que lo utilizan. Los usuarios deben tomar medidas para proteger sus sitios, como actualizar el plugin, aplicar pol\u00edticas de seguridad y contar con herramientas de seguridad adicionales. Al seguir estas recomendaciones, los usuarios podr\u00e1n mitigar los riesgos asociados con esta vulnerabilidad y garantizar la integridad de su sitio web.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>En este art\u00edculo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versi\u00f3n 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuraci\u00f3n del plugin e inyectar c\u00f3digo JavaScript, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[359],"class_list":["post-2639","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-7083"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.8 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este art\u00edculo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versi\u00f3n 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuraci\u00f3n del plugin e inyectar c\u00f3digo JavaScript, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-12T14:56:10+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/\",\"url\":\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/\",\"name\":\"Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-12T14:56:10+00:00\",\"dateModified\":\"2024-01-12T14:56:10+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Voting Record &lt;= 2.0 &#8211; Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/","og_locale":"en_US","og_type":"article","og_title":"Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es","og_description":"En este art\u00edculo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versi\u00f3n 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuraci\u00f3n del plugin e inyectar c\u00f3digo JavaScript, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n [&hellip;]","og_url":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-12T14:56:10+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/","url":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/","name":"Voting Record &lt;= 2.0 - Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-12T14:56:10+00:00","dateModified":"2024-01-12T14:56:10+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/voting-record-2-0-cross-site-request-forgery-a-la-actualizacion-de-configuracion-y-cross-site-scripting\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Voting Record &lt;= 2.0 &#8211; Cross-Site Request Forgery a la actualizaci\u00f3n de configuraci\u00f3n y Cross-Site Scripting"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2639"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2639"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2639\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2639"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}