elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Una vulnerabilidad zero-day en WordPres podría exponer tus emails para ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Una vulnerabilidad zero-day en WordPres podría exponer tus emails para ...  (Leído 2,172 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Una vulnerabilidad zero-day en WordPres podría exponer tus emails para ...
« en: 5 Mayo 2017, 02:23 am »

Un fallo de seguridad bastante grave en la plataforma de WordPress permitiría a un atacante robarse el enlace para restablecer contraseña que envía el servicio a través de email.

Se trata de una vulnerabilidad día cero descubierta por el experto en seguridad Dawid Golunski, quien reportó el fallo a WordPress en julio del año pasado, y que hasta la fecha no ha sido resuelto. Es por ello que Golunski decidió publicar el mismo lo que encontró para que al menos los dueños de sitios web se protejan por sus propios medios de potenciales ataques.

El problema afecta a todas las versiones de WordPress y está relacionado con la forma en la que los sitios webs gestionados con WordPress arman los correos para resetear contraseñas.

De acuerdo al investigador, un atacante podría crear una petición maliciosa para iniciar una operación de restablecer contraseña inyectando una dirección propia en los campos del remitente y del retorno. Esto podría no parecer un problema dado que el correo para resetear el password aún se envía al dueño legítimo del sitio, solo que con un remitente incorrecto, el del atacante.

Aunque los escenarios para explotar esta vulnerabilidad son relativamente complejos, este exploit podría usarse si el atacante ya conoce el email de la victima e inunda la bandeja de entrada del dueño de la web con correo basura, para que cuando esté llena, el email con el enlace para restablacer contraseña se reenvíe el correo de retorno, que sería el del atacante.

Aunque aún no hay solución oficial, Golunski recomienda una solución temporal al final de su exposición.

Vía | Bleeping Computer

https://www.genbeta.com/actualidad/una-vulnerabilidad-zero-day-en-wordpres-podria-exponer-tus-emails-para-restablecer-contrasenas


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
EEUU planea controlar Internet : El Gobierno podría leer emails o mensajes de... « 1 2 »
Noticias
wolfbcn 13 5,225 Último mensaje 1 Octubre 2010, 14:59 pm
por Draklit
Dudas con el GPL de wordpres ( quitar el wordpres powered es ilegal? )
Desarrollo Web
XXXXXX 5 3,338 Último mensaje 24 Octubre 2010, 20:50 pm
por Nakp
Como redactar tu código para exponer dudas « 1 2 »
Java
sapito169 10 26,219 Último mensaje 27 Diciembre 2020, 00:36 am
por Tachikomaia
Como podria mandar emails en C?
Programación C/C++
Riki_89D 1 2,285 Último mensaje 25 Septiembre 2011, 13:19 pm
por Queta
OS X Yosemite podría exponer tu IP y correo electrónico a quienes envían spam
Noticias
wolfbcn 0 1,773 Último mensaje 10 Enero 2015, 01:45 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines