CVE-2018-18921 PHP Server Monitor 3.3.1 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software PHP Server Monitor 3.3.1 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar servidores, logs y usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-18921.   CVE-2018-18921 PHP Server Monitor 3.3.1- Cross-Site Request Forgery Leer más…

CVE-2018-18923 Ticketly 1.0 – Múltiples SQL Injections

En la entrada anterior, hemos visto una vulnerabilidad de Escalación de Privilegios en Ticketly 1.0, en esta entrada, vamos a ver otras vulnerabilidades que he encontrado en este software, en concreto, múltiples SQL Injections, estas vulnerabilidades han sido asociadas al CVE-2018-18923.   Ticketly – CVE-2018-18923 Ticketly 1.0 – Multiple SQL Injections Ticketly 1.0, es Leer más…

CVE-2018-15917 Jorani Leave Management System 0.6.5 – Cross-Site Scripting Persistente

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Cross-Site Scripting Persistente descubierta en el software Jorani Leave Management System 0.6.5, la vulnerabilidad ha sido asociada al CVE-2018-15917.   Jorani CVE-2018-15917 Jorani Leave Management System 0.6.5 – Cross-Site Scripting Persistente Jorani es un sistema de administración de licencias desarrollado en PHP Leer más…

CVE-2018-13832 WordPress Plugin All In One Favicon <= 4.6 - Autenticado Múltiples Cross Site Scripting Persistentes

Durante una de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Persintente (XSS) en el plugin All In One Favicon <= 4.6, desarrollado por Arne Franken de Techotronic. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-13832.   WordPress Plugin CVE-2018-13832 Leer más…

Exploit CVE-2018-6396 – Joomla Google Map Landkarten SQL Injection

Hoy quería compartir con vosotros un exploit que he desarrollado en Python para explotar una vulnerabilidad SQLi descubierta por Ihsan Sencan en el componente Google Map Landkarten, esta vulnerabilidad tiene asociado el CVE-2018-6396.   Joomla CVE-2018-6396 Joomla! Component Google Map Landkarten <= 4.2.3 – SQL Injection 📅 Vulnerabilidad descubierta por Ihsan Sencan el 16/02/2018 💣 Exploit desarrollado Leer más…