Durante una de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Persintente (XSS) en el plugin All In One Favicon <= 4.6, desarrollado por Arne Franken de Techotronic. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-13832.
WordPress Plugin CVE-2018-13832
All In One Favicon <= 4.6 – Autenticado Múltiples Cross Site Scripting Persistentes
![]()
📅 Vulnerabilidad descubierta por Javier Olmedo el 15/03/2018
💣 Publicada el 10/07/2018
🐛 CVE-2018-13832
🔗 Link del software All In One Favicon
🐞 Versión vulnerable <= 4.6
📥 Instalaciones activas +100,000
¿Cómo explotar la vulnerabilidad?
Para explotar esta vulnerabilidad, necesitamos un usuario con permisos de administración, los parámetros vulnerables (8) son los siguientes:
![]()
Puede explotarse con los siguientes payloads:
💉 "><img src=a onerror=alert(1)> 💉 "><img src=a onerror=alert(String.fromCharCode(88,83,83))>
Prueba de concepto (POC)
![]()
Timeline
15/03/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥
27/05/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭
08/07/2018 Solicito CVE
10/07/2018 Hago pública la vulnerabilidad
Referencias
CCN CERT – https://www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/24136.html
CVE-MITRE – http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13832
CVE Details – https://www.cvedetails.com/cve/CVE-2018-13832/
NIST – https://nvd.nist.gov/vuln/detail/CVE-2018-13832
Exploit DB – https://www.exploit-db.com/exploits/45056/
0Day Today – https://es.0day.today/exploits/30752
CX Security – https://cxsecurity.com/cveshow/CVE-2018-13832/
Packet Storm – https://packetstormsecurity.com/files/148617/WordPress-All-In-One-Favicon-4.6-Cross-Site-Scripting.html
Un saludo a todos!! 👋