{"id":3405,"date":"2024-04-01T18:45:08","date_gmt":"2024-04-01T18:45:08","guid":{"rendered":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/"},"modified":"2024-04-01T18:45:08","modified_gmt":"2024-04-01T18:45:08","slug":"colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/","title":{"rendered":"Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)"},"content":{"rendered":"
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a trav\u00e9s del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitizaci\u00f3n de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina inyectada.<\/div>\n

<\/p>\n

La vulnerabilidad CVE-2024-2839 en el plugin Colibri Page Builder puede ser explotada por atacantes que tengan al menos acceso de contribuidor para insertar c\u00f3digo malicioso en p\u00e1ginas creadas con el plugin. Esta vulnerabilidad podr\u00eda ser utilizada para realizar ataques de phishing, robar cookies de sesi\u00f3n de usuarios o redirigir a los visitantes a sitios web maliciosos.<\/div>\n
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Colibri Page Builder a la \u00faltima versi\u00f3n disponible, en este caso la 1.0.264, que parchea esta vulnerabilidad espec\u00edfica. Adem\u00e1s, se aconseja a los administradores del sitio web realizar una revisi\u00f3n de seguridad exhaustiva para buscar posibles inyecciones de XSS en otras \u00e1reas del sitio.<\/div>\n","protected":false},"excerpt":{"rendered":"

El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a trav\u00e9s del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitizaci\u00f3n de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1115],"class_list":["post-3405","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-2839"],"yoast_head":"\nColibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Colibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a trav\u00e9s del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitizaci\u00f3n de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-01T18:45:08+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/\",\"url\":\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/\",\"name\":\"Colibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-04-01T18:45:08+00:00\",\"dateModified\":\"2024-04-01T18:45:08+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Colibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/","og_locale":"en_US","og_type":"article","og_title":"Colibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es","og_description":"El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a trav\u00e9s del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitizaci\u00f3n de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de […]","og_url":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-04-01T18:45:08+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/","url":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/","name":"Colibri Page Builder <= 1.0.263 - Cross-Site Scripting Almacenado Autenticado (Contribuidor+) - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-04-01T18:45:08+00:00","dateModified":"2024-04-01T18:45:08+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/colibri-page-builder-1-0-263-cross-site-scripting-almacenado-autenticado-contribuidor\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3405"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3405"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3405\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3405"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3405"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3405"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}