• +(57 1) 745-7312
  • contacto@openitnet.com

NOTICIAS

Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años

Investigadores de seguridad de RIPS Technologies GmbH han publicado una investigación en la que se revela la existencia de una ejecución remota de código (RCE) que afecta a todas las versiones de worpress liberadas desde hace 6 años atrás.

Este RCE se reportó al equipo de seguridad de WordPress a finales de 2018 y permite a un atacante con una cuenta con permisos de edición de tipo “author” ejecutar código PHP arbitrario. Este requisito reduce la severidad hasta cierto punto.

Para lograr la ejecución remoto de código, se combina un Path Traversal (escapada de ruta) con un Local File Inclusion (inclusión arbitraria de ficheros). 

Los investigadores se dieron cuenta de como una cuenta de tipo “author” puede modificar la información de las imágenes, pudiendo establecer valores arbitrarios que desembocan en un Path Traversal.

La idea es asignar a _wp_attached_file to evil.jpg?shell.php para más tarde realizar una solicitud HTTP a una URL como esta: https://targetserver.com/wp-content/uploads/evil.jpg?shell.php

Según los investigadores, la ejecución de código no es explotable en las versiones 5.0.1 y 4.9.9 ya que en esas versiones se parcheó otra vulnerabilidad que impide la explotación de la primera.

 


Fuente: Hispasec.com

7. Gestión de Proyectos

2020-02-13 Hits:550

Las herramientas de gestión de proyectos son adecuadas para aquellas empresas que deben ejecutar múltiples actividades para completar una venta;

Leer Más...

6. Gestión de Listas de Correo

2019-06-17 Hits:835

Una excelente forma de mantenerse en contacto con los clientes y prospectos sobre novedades, lanzamientos, eventos y noticias de nuestra empresa es mediante la gestión de listas de correo. Como en el caso del servidor de correo, existen muchas opciones...

Leer Más...

5. Servidor Web.

2019-03-07 Hits:622

¡Muy bien! Ya tenemos nuestro flamante nuevo sitio web al aire, y todos nuestros clientes nos felicitan por lo lindo y moderno que quedó. Pero ahora viene lo interesante… ¿Como hacemos para mantenerlo actualizado y que nuestros visitantes se mantengan...

Leer Más...

Microsoft es la marca más suplantada en los ataques de phishing. Check Point ha publicado su Brand Phishing Report… https://t.co/KlQ5qeVthW

Google Drive borrará automáticamente todos los archivos de la papelera a los 30 días. Desde el 13 de octubre de est… https://t.co/3mUgyQ1jsU

Somos una empresa de soluciones en consultoría informática, especializada en instalación de aplicaciones corporativas y administración de infraestructura tecnológica, con énfasis en pequeñas y medianas empresas (Pymes).

INFORMACIÓN

Calle 67 # 8-16 Of. 304 Bogotá, Colombia

+(57 1) 745-7312

This email address is being protected from spambots. You need JavaScript enabled to view it.

Tweets

Microsoft es la marca más suplantada en los ataques de phishing. Check Point ha publicado su Brand Phishing Report… https://t.co/KlQ5qeVthW

Google Drive borrará automáticamente todos los archivos de la papelera a los 30 días. Desde el 13 de octubre de est… https://t.co/3mUgyQ1jsU

Search