{"id":2882,"date":"2024-02-12T21:45:16","date_gmt":"2024-02-12T21:45:16","guid":{"rendered":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/"},"modified":"2024-02-12T21:45:16","modified_gmt":"2024-02-12T21:45:16","slug":"bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/","title":{"rendered":"Bold Page Builder <= 4.8.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n"},"content":{"rendered":"
El plugin Bold Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la URL del bot\u00f3n del plugin en todas las versiones hasta, e incluyendo, la 4.8.0 debido a una insuficiente sanitizaci\u00f3n de entrada y escapado de salida. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores inyecten scripts web arbitrarios en p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina inyectada.<\/div>\n

<\/p>\n

La vulnerabilidad de Cross-Site Scripting almacenado permite a un atacante autenticado insertar scripts maliciosos en p\u00e1ginas web. En este caso, el plugin Bold Page Builder para WordPress no realiza una adecuada sanitizaci\u00f3n de la URL del bot\u00f3n del plugin, lo que permite que se inyecten scripts maliciosos en p\u00e1ginas generadas por el plugin.<\/p>\n

Para subsanar este problema, los usuarios deben actualizar el plugin Bold Page Builder a la versi\u00f3n m\u00e1s reciente. Esto corregir\u00e1 la falencia de sanitizaci\u00f3n de entrada y escapado de salida, evitando la ejecuci\u00f3n de scripts maliciosos..<\/p>\n

Adem\u00e1s, se recomienda que los administradores del sitio revisen y aprueben cuidadosamente los permisos de los usuarios en WordPress. Limitar los permisos a aquellos que realmente necesitan contribuir al contenido del sitio puede reducir el riesgo de que un atacante aproveche esta vulnerabilidad.<\/p><\/div>\n

Es importante que los usuarios mantengan siempre sus plugins de WordPress actualizados para garantizar la seguridad de sus sitios web. En el caso del plugin Bold Page Builder, la actualizaci\u00f3n a la versi\u00f3n m\u00e1s reciente solucionar\u00e1 la vulnerabilidad de Cross-Site Scripting almacenado. Adem\u00e1s, es fundamental aplicar buenas pr\u00e1cticas de gesti\u00f3n de permisos en WordPress para reducir el riesgo de explotaci\u00f3n de vulnerabilidades de este tipo.<\/div>\n","protected":false},"excerpt":{"rendered":"

El plugin Bold Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la URL del bot\u00f3n del plugin en todas las versiones hasta, e incluyendo, la 4.8.0 debido a una insuficiente sanitizaci\u00f3n de entrada y escapado de salida. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[595],"class_list":["post-2882","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1157"],"yoast_head":"\nBold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Bold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El plugin Bold Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la URL del bot\u00f3n del plugin en todas las versiones hasta, e incluyendo, la 4.8.0 debido a una insuficiente sanitizaci\u00f3n de entrada y escapado de salida. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-02-12T21:45:16+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/\",\"url\":\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/\",\"name\":\"Bold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-02-12T21:45:16+00:00\",\"dateModified\":\"2024-02-12T21:45:16+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Bold Page Builder <= 4.8.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Bold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/","og_locale":"en_US","og_type":"article","og_title":"Bold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es","og_description":"El plugin Bold Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a trav\u00e9s de la URL del bot\u00f3n del plugin en todas las versiones hasta, e incluyendo, la 4.8.0 debido a una insuficiente sanitizaci\u00f3n de entrada y escapado de salida. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores […]","og_url":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-02-12T21:45:16+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/","url":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/","name":"Bold Page Builder <= 4.8.0 - Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-02-12T21:45:16+00:00","dateModified":"2024-02-12T21:45:16+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/bold-page-builder-4-8-0-cross-site-scripting-almacenado-autenticado-contributor-a-traves-de-url-de-boton\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Bold Page Builder <= 4.8.0 – Cross-Site Scripting almacenado autenticado (Contributor+) a trav\u00e9s de URL de bot\u00f3n"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2882"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2882"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2882\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2882"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}