Multiple Themes (Various Versions) – Reflected Cross-Site Scripting – Impreza theme

ChipToChip 18 de junio de 2024

XSS Attacks (Cross-site scripting)

Mensaje error WPToolkit

Multiple themes for WordPress are vulnerable to Reflected Cross-Site Scripting via the ‘id’ parameter found in the ‘[different-value]_customizer_notify_dismiss_action’ and ‘[different-value]_customizer_notify_dismiss_recommended_plugins’ AJAX actions in various versions due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. The following are additional known variants of the AJAX actions: ‘[different-value]_customizer_notify_dismiss_recommended_action_callback’ & ‘[different-value]_customizer_notify_dismiss_recommended_plugins_callback’

Medida de seguridad 1: agregar el siguiente código a tu archivo .htaccess en el directorio raíz de WP

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Medida de seguridad 2:

Los ataques XSS permiten a los atacantes inyectar código JavaScript malicioso en las páginas de su sitio web, lo que puede resultar en robo de datos o acciones no autorizadas. En este tipo de ataque, las vulnerabilidades de la web suelen aprovecharse para insertar código malicioso, lo que les permite tomar el control del sitio web o robar información confidencial de los usuarios que visitan el sitio.
Para evitar estos ataques, asegúrese de validar y filtrar adecuadamente las entradas de los usuarios y utilizar medidas de seguridad como la Política de seguridad de contenido (CSP).

Un administrador del sitio web desea que todo el contenido provenga del mismo origen que el del sitio (esto excluye subdominios).

Ejemplo 1

Un administrador del sitio web desea que todo el contenido provenga del mismo origen que el del sitio (esto excluye subdominios).

Content-Security-Policy: default-src ‘self’

Ejemplo 2

El administrador de un sitio web desea permitir el contenido de un dominio de confianza y todos sus subdominios (no tiene que ser el mismo dominio en el que está configurado el CSP).

Ejemplo 3

Content-Security-Policy: default-src 'self' *.trusted.com


El administrador de un sitio web desea permitir que los usuarios de una aplicación web incluyan imágenes de cualquier origen en su propio contenido, pero restringen los medios de audio o video a proveedores de confianza, y todas las secuencias de comandos solo a un servidor específico que aloja un código de confianza.

Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com

ChipToChip

Elena Lacalle García es la titular y principal autora del sitio web **ChipToChip**, una empresa de servicios informáticos ubicada en Valencia, España. ## Actividad y Contribuciones Elena ha publicado numerosos artículos técnicos en el blog de **ChipToChip**, donde comparte manuales y guías sobre informática, desarrollo web y seguridad digital. Sus publicaciones incluyen: - Tutoriales sobre **WordPress** (cómo desactivar comentarios, optimización, etc.). - Soluciones a problemas en **Windows** y **Mac OS**. - Guías de **seguridad web** y administración de servidores. ## Servicios Ofrecidos Además de su labor como autora, Elena se encarga de la gestión y operación de **ChipToChip**, ofreciendo servicios como: - **Diseño y desarrollo web.** - **Mantenimiento de sitios web.** - **Desarrollo de aplicaciones web personalizadas.**

Related Posts