{"id":2903,"date":"2024-02-14T19:46:20","date_gmt":"2024-02-14T19:46:20","guid":{"rendered":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/"},"modified":"2024-02-14T19:46:20","modified_gmt":"2024-02-14T19:46:20","slug":"doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/","title":{"rendered":"Doofinder for WooCommerce <= 2.1.8 – XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n"},"content":{"rendered":"
El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a trav\u00e9s de la configuraci\u00f3n del administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 2.1.8 debido a una insuficiente sanitizaci\u00f3n de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.<\/div>\n

<\/p>\n

Esta vulnerabilidad de XSS almacenado en el plugin Doofinder WP & WooCommerce Search para WordPress puede ser explotada por atacantes autenticados con permisos de administrador y superiores. Al no haber una adecuada sanitizaci\u00f3n de la entrada y escapado de la salida en la configuraci\u00f3n del administrador, un atacante puede introducir scripts web maliciosos que se ejecutar\u00e1n en las p\u00e1ginas inyectadas cada vez que un usuario las visite. Esto puede llevar a la ejecuci\u00f3n de c\u00f3digo malicioso, robo de credenciales, redirecci\u00f3n a sitios maliciosos o phishing, entre otros ataques.<\/p>\n

Para subsanar este problema, se recomienda actualizar a la \u00faltima versi\u00f3n del plugin Doofinder WP & WooCommerce Search, donde se han corregido estas vulnerabilidades. Adem\u00e1s, es importante tener siempre actualizadas todas las extensiones y temas instalados, as\u00ed como aplicar las \u00faltimas actualizaciones de WordPress.<\/p>\n

Los administradores tambi\u00e9n pueden habilitar la configuraci\u00f3n ‘unfiltered_html’, pero esto puede aumentar el riesgo de otras vulnerabilidades de seguridad y se recomienda solo si es estrictamente necesario. En cualquier caso, se recomienda implementar una pol\u00edtica de seguridad robusta, realizar copias de seguridad regulares y revisar peri\u00f3dicamente los registros de actividad del sitio para detectar cualquier actividad sospechosa.<\/p><\/div>\n

La vulnerabilidad de XSS almacenado en el plugin Doofinder WP & WooCommerce Search para WordPress puede permitir a atacantes autenticados inyectar scripts web maliciosos en p\u00e1ginas del sitio. Para protegerse contra esta vulnerabilidad, es fundamental mantener todas las extensiones y temas actualizados, aplicar las \u00faltimas actualizaciones de WordPress y seguir buenas pr\u00e1cticas de seguridad, como tener una pol\u00edtica de actualizaci\u00f3n regular, realizar copias de seguridad y monitorear activamente cualquier actividad sospechosa en el sitio.<\/div>\n","protected":false},"excerpt":{"rendered":"

El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a trav\u00e9s de la configuraci\u00f3n del administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 2.1.8 debido a una insuficiente sanitizaci\u00f3n de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[616],"class_list":["post-2903","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-25596"],"yoast_head":"\nDoofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Doofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a trav\u00e9s de la configuraci\u00f3n del administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 2.1.8 debido a una insuficiente sanitizaci\u00f3n de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-02-14T19:46:20+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/\",\"url\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/\",\"name\":\"Doofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-02-14T19:46:20+00:00\",\"dateModified\":\"2024-02-14T19:46:20+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Doofinder for WooCommerce <= 2.1.8 – XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Doofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/","og_locale":"en_US","og_type":"article","og_title":"Doofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es","og_description":"El plugin Doofinder WP & WooCommerce Search para WordPress es vulnerable a XSS almacenado a trav\u00e9s de la configuraci\u00f3n del administrador en todas las versiones hasta, e incluyendo, la versi\u00f3n 2.1.8 debido a una insuficiente sanitizaci\u00f3n de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, […]","og_url":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-02-14T19:46:20+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/","url":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/","name":"Doofinder for WooCommerce <= 2.1.8 - XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-02-14T19:46:20+00:00","dateModified":"2024-02-14T19:46:20+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-1-8-xss-almacenado-autenticado-administrador-a-traves-de-la-configuracion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Doofinder for WooCommerce <= 2.1.8 – XSS almacenado autenticado (Administrador+) a trav\u00e9s de la configuraci\u00f3n"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2903"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2903"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2903\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2903"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}