{"id":2819,"date":"2024-02-06T19:18:57","date_gmt":"2024-02-06T19:18:57","guid":{"rendered":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/"},"modified":"2024-02-06T19:18:57","modified_gmt":"2024-02-06T19:18:57","slug":"custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/","title":{"rendered":"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin"},"content":{"rendered":"
En este art\u00edculo, analizaremos una vulnerabilidad de Falsificaci\u00f3n de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a trav\u00e9s de una solicitud falsificada, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para que realice una acci\u00f3n, como hacer clic en un enlace.<\/div>\n

<\/p>\n

Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X es un popular plugin para WordPress que permite mostrar tweets de Twitter en un sitio web. Sin embargo, todas las versiones hasta la 2.2.1 son vulnerables a CSRF debido a la falta de validaci\u00f3n de nonce en la funci\u00f3n ctf_auto_save_tokens.<\/p>\n

Un atacante puede aprovechar esta vulnerabilidad enviando una solicitud falsificada, haci\u00e9ndose pasar por un administrador del sitio. Si el administrador realiza la acci\u00f3n solicitada, como hacer clic en un enlace espec\u00edfico, los atacantes pueden actualizar el token y el secreto de la API de Twitter del sitio.<\/p>\n

Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar a la \u00faltima versi\u00f3n del plugin tan pronto como est\u00e9 disponible. Adem\u00e1s, los administradores del sitio deben ser cautelosos al hacer clic en enlaces sospechosos y verificar cuidadosamente las solicitudes antes de realizar cualquier acci\u00f3n.<\/p><\/div>\n

La vulnerabilidad de Falsificaci\u00f3n de Solicitud entre Sitios en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X pone en riesgo la seguridad de los sitios web que lo utilizan. Es importante que los usuarios actualicen a la \u00faltima versi\u00f3n del plugin y est\u00e9n atentos a posibles enlaces enga\u00f1osos. Al tomar medidas preventivas, los usuarios pueden protegerse contra posibles ataques y mantener la seguridad de sus sitios web.<\/div>\n","protected":false},"excerpt":{"rendered":"

En este art\u00edculo, analizaremos una vulnerabilidad de Falsificaci\u00f3n de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a trav\u00e9s de una […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[534],"class_list":["post-2819","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-0379"],"yoast_head":"\nCustom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este art\u00edculo, analizaremos una vulnerabilidad de Falsificaci\u00f3n de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a trav\u00e9s de una […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-02-06T19:18:57+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/\",\"url\":\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/\",\"name\":\"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-02-06T19:18:57+00:00\",\"dateModified\":\"2024-02-06T19:18:57+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/","og_locale":"en_US","og_type":"article","og_title":"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es","og_description":"En este art\u00edculo, analizaremos una vulnerabilidad de Falsificaci\u00f3n de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a trav\u00e9s de una […]","og_url":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-02-06T19:18:57+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/","url":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/","name":"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 - Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-02-06T19:18:57+00:00","dateModified":"2024-02-06T19:18:57+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/custom-twitter-feeds-widget-de-tweets-personalizados-o-widget-de-feed-x-2-2-1-falsificacion-de-solicitud-entre-sitios-para-actualizar-las-opciones-del-plugin\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Custom Twitter Feeds \u2013 Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificaci\u00f3n de solicitud entre sitios para actualizar las opciones del plugin"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2819"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2819"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2819\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2819"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}