x20LJRg2akQ

WordPress 4.8 2 exploit

De XSS en el núcleo de WordPress (CVE-2020-4046) a RCE

Contents

La versión 4.8.2 del núcleo de WordPress acaba de ser lanzada. Se trata de una actualización menor y de seguridad, lo que significa que sus sitios se actualizarán automáticamente en las próximas 24 horas, a menos que haya desactivado las actualizaciones automáticas.

La actualización incluye una corrección de $wpdb->prepare() para ayudar a proteger contra ataques de inyección SQLi. El núcleo de WordPress no es vulnerable a los ataques de inyección SQLi directamente, pero ciertos plugins y temas pueden ser vulnerables dependiendo de cómo utilicen la función $wpdb->prepare() en su código. Esta corrección por sí sola es una razón para actualizar inmediatamente a la versión 4.8.2.

Explotación de WordPress 4.8

DescripciónLa vulnerabilidad permite a un atacante remoto ejecutar consultas SQL arbitrarias en la base de datos.La vulnerabilidad existe debido a la insuficiente sanitización de los datos suministrados por el usuario en WP_Meta_Query. Un atacante remoto puede enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.La explotación exitosa de esta vulnerabilidad puede permitir a un atacante remoto leer, borrar, modificar datos en la base de datos y obtener el control completo de la aplicación afectada.

WordPress Woocommerce Inyección SQL no autorizada 2021

WordPress es una de las herramientas de CMS de código abierto más utilizadas que impulsa millones de sitios web. Esta popularidad de WordPress ha hecho que sea un objetivo importante para los atacantes web. El equipo de WordPress está compartiendo guías de seguridad a tiempo para proteger los sitios web de los problemas de seguridad de WordPress e incluso la protección es más estricta por muchos sitios web. Pero aún así, hay algunos sitios web que son vulnerables debido a varias razones que hace que sea fácil para los hackers para hackear un sitio wordpress.

Este tipo de vulnerabilidad de seguridad de WordPress permite a un usuario no autorizado cambiar el contenido de cualquier blog, post o página dentro de un sitio web de WordPress. Cuando una aplicación web no se maneja de forma segura, se convierte en un objetivo fácil para los hackers de WordPress para suministrar contenido a través de un valor de parámetro que modificará el contenido de la página. Como la página está vinculada con un dominio de confianza, el usuario cree que el determinado contenido que aparece en el sitio web es legítimo y no proviene de una fuente externa. Lea también – Vulnerabilidad de la API REST de WordPress Explotación de inyección de contenido [CORREGIDO]

Evitar la ejecución de PHP en la carpeta de subidas de WordPress

W