{"id":2808,"date":"2024-02-05T22:15:39","date_gmt":"2024-02-05T22:15:39","guid":{"rendered":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/"},"modified":"2024-02-05T22:15:39","modified_gmt":"2024-02-05T22:15:39","slug":"shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/","title":{"rendered":"Shariff Wrapper <= 4.6.9 – Cross-Site Scripting Almacenado Autenticado (Admin+)"},"content":{"rendered":"
El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la configuraci\u00f3n de administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 4.6.9 debido a una sanitizaci\u00f3n insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador o superiores, inyectar scripts web arbitrarios en p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina inyectada. Esto solo afecta a instalaciones multi sitio e instalaciones donde unfiltered_html ha sido deshabilitado.<\/div>\n

<\/p>\n

El complemento de WordPress Shariff Wrapper versi\u00f3n 4.6.9 y anteriores contiene una vulnerabilidad de Cross-Site Scripting almacenado que puede ser aprovechada por atacantes autenticados para inyectar y ejecutar scripts web maliciosos en p\u00e1ginas visitadas por los usuarios.<\/p>\n

La vulnerabilidad se debe a una falta de sanitizaci\u00f3n adecuada de la entrada y a la omisi\u00f3n del escapado en la salida de las configuraciones de administrador. Como resultado, los atacantes autenticados con permisos de nivel de administrador o superiores pueden insertar c\u00f3digo malicioso en las p\u00e1ginas que ejecute cuando un usuario visite una de estas p\u00e1ginas inyectadas.<\/p>\n

Para subsanar este problema, se recomienda a los usuarios actualizar a la \u00faltima versi\u00f3n del complemento Shariff Wrapper, en la cual se han corregido estas vulnerabilidades de seguridad. Adem\u00e1s, es recomendable mantener todos los complementos y temas de WordPress actualizados regularmente para evitar la explotaci\u00f3n de vulnerabilidades conocidas.<\/p>\n

Adem\u00e1s, se sugiere habilitar la opci\u00f3n de filtrado de HTML no filtrado en instalaciones de WordPress para evitar potenciales ataques de inyecci\u00f3n de c\u00f3digo en el futuro. Esto se puede hacer configurando ‘unfiltered_html’ con valor ‘false’ dentro del archivo wp-config.php.<\/p><\/div>\n

La vulnerabilidad de Cross-Site Scripting almacenado en el complemento Shariff Wrapper hasta la versi\u00f3n 4.6.9 puede ser explotada por atacantes autenticados con permisos de nivel de administrador o superiores. Actualizar a la \u00faltima versi\u00f3n del complemento y mantener todos los complementos y temas actualizados es fundamental para mitigar este riesgo de seguridad. Adem\u00e1s, habilitar el filtrado de HTML no filtrado en las instalaciones de WordPress puede ayudar a prevenir futuras inyecciones de c\u00f3digo y proteger el sitio contra ataques maliciosos.<\/div>\n","protected":false},"excerpt":{"rendered":"

El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la configuraci\u00f3n de administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 4.6.9 debido a una sanitizaci\u00f3n insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[523],"class_list":["post-2808","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1106"],"yoast_head":"\nShariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Shariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la configuraci\u00f3n de administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 4.6.9 debido a una sanitizaci\u00f3n insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-02-05T22:15:39+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/\",\"url\":\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/\",\"name\":\"Shariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-02-05T22:15:39+00:00\",\"dateModified\":\"2024-02-05T22:15:39+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Shariff Wrapper <= 4.6.9 – Cross-Site Scripting Almacenado Autenticado (Admin+)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Shariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/","og_locale":"en_US","og_type":"article","og_title":"Shariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es","og_description":"El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la configuraci\u00f3n de administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 4.6.9 debido a una sanitizaci\u00f3n insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador […]","og_url":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-02-05T22:15:39+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/","url":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/","name":"Shariff Wrapper <= 4.6.9 - Cross-Site Scripting Almacenado Autenticado (Admin+) - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-02-05T22:15:39+00:00","dateModified":"2024-02-05T22:15:39+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/shariff-wrapper-4-6-9-cross-site-scripting-almacenado-autenticado-admin\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Shariff Wrapper <= 4.6.9 – Cross-Site Scripting Almacenado Autenticado (Admin+)"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2808"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2808"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2808\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2808"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}