CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software Integria IMS 5.0.83 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-19829.   CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery (CSRF) Integria IMS es un software de help desk sencillo, […]

CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Cross-Site Scripting Persistente descubierta en el software Libre NMS 1.43, la vulnerabilidad ha sido asociada al CVE-2018-18478.   Libre NMS – CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente Libre Network Monitoring System, es un software utilizado para monitoreo de red basado en PHP / MySQL / SNMP […]

CVE-2018-15571 WordPress Plugin Export Users to CSV 1.1.1 – CSV Injection

Buenas a todos de nuevo, volviendo de las vacaciones 🏖️, MITRE me ha asignado otro CVE para plugins WordPress, esta vez, he descubierto una vulnerabilidad de ejecución remota de código a través de inyección CSV en el plugin Export Users to CSV – 1.1.1, desarrollado por Matt Cromwell. Esta vulnerabilidad ya fue reportada, no ha sido reconocida por […]

Enumerar usuarios y realizar ataques de fuerza bruta en WordPress con Burp Suite

En esta entrada vamos a ver como 👤 enumerar usuarios y realizar ataques de fuerza bruta para intentar acceder al panel de administración de un sitio web desarrollado con el CMS (Gestor de contenido) WordPress, para realizar este ataque, haremos uso de la herramienta 🛠 Burp Suite. Existen varios scripts e incluso herramientas como 🛠 WPScan para realizar […]

Exploit CVE-2018-6389 – WordPress Core – Denial of Service

Últimamente estoy muy atento de las vulnerabilidades de los CMS y vengo a compartir con vosotros otro exploit que he desarrollado para la vulnerabilidad CVE-2018-6389. Esta vulnerabilidad descubierta por Barak Tawily, permite lanzar un ataque de denegación de servicio (DOS) sobre las páginas webs desarrolladas con WordPress (se estima que aproximadamente el 29% de todas las […]

Exploit CVE-2018-6396 – Joomla Google Map Landkarten SQL Injection

Hoy quería compartir con vosotros un exploit que he desarrollado en Python para explotar una vulnerabilidad SQLi descubierta por Ihsan Sencan en el componente Google Map Landkarten, esta vulnerabilidad tiene asociado el CVE-2018-6396.   Joomla CVE-2018-6396 Joomla! Component Google Map Landkarten <= 4.2.3 – SQL Injection 📅 Vulnerabilidad descubierta por Ihsan Sencan el 16/02/2018 💣 Exploit desarrollado por Javier Olmedo el 03/03/2018 […]