{"id":2689,"date":"2024-01-19T21:15:35","date_gmt":"2024-01-19T21:15:35","guid":{"rendered":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/"},"modified":"2024-01-19T21:15:35","modified_gmt":"2024-01-19T21:15:35","slug":"filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/","title":{"rendered":"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas"},"content":{"rendered":"
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de WordPress llamado FileBird. La versi\u00f3n afectada es la 5.6.0 y anteriores. El problema reside en la forma en que se manejan los t\u00edtulos de las carpetas importadas, lo que permite a usuarios autenticados con privilegios de administrador almacenar scripts web maliciosos. En este art\u00edculo, se discutir\u00e1n las implicaciones de esta vulnerabilidad y las posibles soluciones para mitigar el riesgo.<\/div>\n

<\/p>\n

La vulnerabilidad conocida como CVE-2024-0691 est\u00e1 catalogada como una ‘Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)’. Esto significa que hay una falta de neutralizaci\u00f3n adecuada de las etiquetas HTML relacionadas con scripts en una p\u00e1gina web. En el caso de FileBird, los t\u00edtulos de las carpetas importadas no son correctamente sanitizados y las variables no son escapadas correctamente antes de ser mostradas en la interfaz del administrador.<\/p>\n

Como resultado, un atacante autenticado con acceso de administrador puede introducir scripts web maliciosos en las p\u00e1ginas del sitio web. Estos scripts se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina que contenga el script inyectado. Tambi\u00e9n existe la posibilidad de que un atacante enga\u00f1e a un administrador para que cargue una carpeta importada maliciosa, exponiendo a\u00fan m\u00e1s el riesgo.<\/p>\n

Para mitigar esta vulnerabilidad, se recomienda a los usuarios de FileBird actualizar a la \u00faltima versi\u00f3n disponible, que incluye una soluci\u00f3n para este problema de seguridad. Adem\u00e1s, es importante tener siempre actualizado el core de WordPress y todos los plugins instalados, ya que las actualizaciones suelen incluir correcciones de seguridad.<\/p>\n

Adem\u00e1s, se recomienda desconfiar de cualquier archivo o carpeta importada que provenga de fuentes no confiables. Siempre es recomendable utilizar solo fuentes de confianza para importar contenido en su sitio WordPress, y verificar que los t\u00edtulos de las carpetas importadas no contengan ning\u00fan tipo de script malicioso antes de su importaci\u00f3n.<\/p><\/div>\n

La vulnerabilidad de almacenamiento de scripts cruzados en el plugin FileBird puede tener graves implicaciones para la seguridad de un sitio web de WordPress. Sin embargo, siguiendo las mejores pr\u00e1cticas de seguridad, como mantener los plugins y el core de WordPress actualizados, y desconfiar de fuentes no confiables, los usuarios pueden mitigar el riesgo y proteger sus sitios web. Recuerde siempre estar atento a los avisos de seguridad y estar al tanto de las actualizaciones disponibles para mantener su sitio seguro.<\/div>\n","protected":false},"excerpt":{"rendered":"

En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de WordPress llamado FileBird. La versi\u00f3n afectada es la 5.6.0 y anteriores. El problema reside en la forma en que se manejan los t\u00edtulos de las carpetas importadas, lo que permite a usuarios autenticados con privilegios de administrador almacenar scripts web maliciosos. […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[407],"class_list":["post-2689","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-0691"],"yoast_head":"\nFileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de WordPress llamado FileBird. La versi\u00f3n afectada es la 5.6.0 y anteriores. El problema reside en la forma en que se manejan los t\u00edtulos de las carpetas importadas, lo que permite a usuarios autenticados con privilegios de administrador almacenar scripts web maliciosos. […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-19T21:15:35+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/\",\"url\":\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/\",\"name\":\"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-19T21:15:35+00:00\",\"dateModified\":\"2024-01-19T21:15:35+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/","og_locale":"en_US","og_type":"article","og_title":"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es","og_description":"En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de WordPress llamado FileBird. La versi\u00f3n afectada es la 5.6.0 y anteriores. El problema reside en la forma en que se manejan los t\u00edtulos de las carpetas importadas, lo que permite a usuarios autenticados con privilegios de administrador almacenar scripts web maliciosos. […]","og_url":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-19T21:15:35+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/","url":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/","name":"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-19T21:15:35+00:00","dateModified":"2024-01-19T21:15:35+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/filebird-5-6-0-vulnerabilidad-de-almacenamiento-de-scripts-cruzados-autenticados-administrador-a-traves-de-la-importacion-de-carpetas\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"FileBird <= 5.6.0 \u2013 Vulnerabilidad de almacenamiento de scripts cruzados autenticados (Administrador+) a trav\u00e9s de la importaci\u00f3n de carpetas"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2689"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2689"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2689\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2689"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}