Complemento Portfolio For Elementor Image Gallery Post Grid PowerFolio Vulnerabilidades

Explicación y desarrollo de vulnerabilidades del plugin Portfolio For Elementor Image Gallery Post Grid PowerFolio. Se proponen soluciones

31 de enero del 2023

CVE-2022-4765: El complemento Portfolio for Elementor WordPress anterior a 2.3.1 no valida y escapa algunos de sus atributos de shortcode antes de volver a generarlos en la página, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar ataques de secuencias de comandos entre sitios almacenadas que podrían ser utilizado contra usuarios con privilegios elevados, como administradores.

Prueba de concepto: Explotar: [powerfolio zoom_effect='" onmouseover="alert(1)" style="background:red;width:100px;height:100px;"'] . Solucionado en la versión 2.1.7

Otras referencias sobre vulnerabilidades CVE

• www.clasesordenador.com/icon-widget/
• www.clasesordenador.com/posts-list-designer-by-category/
• www.clasesordenador.com/mediaelement/
• www.clasesordenador.com/revive-old-posts/
• www.clasesordenador.com/complemento-pricing-tables-wordpress/
• www.clasesordenador.com/complemento-simple-sitemap-para-wordpress/
• www.clasesordenador.com/complemento-widgets-for-google-reviews-para-wordpress/
• www.clasesordenador.com/vulnerabilidad-en-nosh-4a5cfdb/
• www.clasesordenador.com/vulnerabilidad-en-dispositivo-qnap/
• www.clasesordenador.com/vulnerabilidad-de-gnu-tar/
• www.clasesordenador.com/rce-en-paquete-eta/
• www.clasesordenador.com/cve-2023-0569-passwords-debiles-en-publify/
• www.clasesordenador.com/funciones-desconocidas-en-phpgurukul-bank-locker-management-system-1-0/
• www.clasesordenador.com/aplicacion-wire-cve-2022-39380/
• www.clasesordenador.com/fuga-de-informacion-en-todas-las-versiones-de-gitlab-ee/
• www.clasesordenador.com/revenue-collection-system-version-1-0/
• www.clasesordenador.com/contentstudio-para-wordpress-vulnerable/
• www.clasesordenador.com/plataforma-magento-its-contiene-un-bucle-infinito-en-el-filtro-de-codigos-maliciosos/

Aqui teneis más vulnerabilidades de Wordpress

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-02. Fecha publicación el 2023-02-02. Autor: Oscar olg Mapa del sitio Fuente: cve report