The Themedy Toolbox plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's themedy_col, themedy_social_link, themedy_alertbox, and themedy_pullleft shortcodes in all versions up to, and including, 1.0.14, and up to, and including 1.0.15 for the plugin's themedy_button shortcode due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
26/09/2024
26/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
6.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
En el pasado, cuando los investigadores de seguridad encontraban formas de secuestrar los sistemas conectados a internet de los vehículos, sus demostraciones de prueba de concepto solían demostrar, afortunadamente, que hackear autos es difícil. Explotaciones como las que utilizaron los hackers para hacerse con el control remoto de un Chevrolet Impala en 2010, o de un Jeep en 2015, requirieron años de trabajo y trucos ingeniosos: ingeniería inversa del oscuro código de las unidades telemáticas de los autos, envío de software malicioso a esos sistemas a través de tonos de audio reproducidos por conexiones de radio, o incluso la introducción de un disco con un archivo de música cargado de malware en la unidad de CD del automóvil.
Es más fácil de lo que pensábamos
Este verano, un pequeño grupo de piratas informáticos demostró una técnica mucho más sencilla para hackear y rastrear millones de vehículos, tan fácil como encontrar un simple fallo en un sitio web.
Hoy, un grupo de investigadores de seguridad independientes reveló que encontró un fallo en un portal web del fabricante de automóviles Kia que permite a los investigadores reasignar el control de las funciones conectadas a internet de la mayoría de los vehículos Kia modernos (decenas de modelos que representan millones de autos en circulación) desde el smartphone del propietario de un automóvil al propio teléfono o a la computadora de los hackers. Aprovechando esa vulnerabilidad y creando su propia aplicación personalizada para enviar órdenes a los vehículos objetivo, fueron capaces de escanear la matrícula de prácticamente cualquier vehículo Kia conectado a internet y, en cuestión de segundos, obtener la capacidad de rastrear la ubicación de ese auto, desbloquearlo, tocar el claxon o arrancarlo a voluntad. Aquí está una prueba, en inglés:
Kia corrigió el fallo
Después de que los investigadores alertaran a Kia sobre el problema en junio, Kia parece haber corregido la vulnerabilidad en su portal web, aunque en ese momento dijo a WIRED que todavía estaba investigando los hallazgos del grupo y no ha respondido a los correos electrónicos de desde entonces. Sin embargo, según los investigadores, el parche de Kia dista mucho de ser el final de los problemas de seguridad de la industria automovilística a través de internet. El fallo web que utilizaron para piratear los Kias es, de hecho, el segundo de este tipo del que informan a la empresa propiedad de Hyundai; el año pasado encontraron una técnica similar para secuestrar los sistemas digitales de los Kias. Y esos fallos son apenas dos de una serie de vulnerabilidades similares basadas en la web que han descubierto en los últimos dos años y que han afectado a automóviles vendidos por Acura, Genesis, Honda, Hyundai, Infiniti y Toyota, entre otros.
«Cuanto más investigamos, más evidente resulta que la seguridad web de los vehículos es muy deficiente», destaca Neiko «Specters» Rivera, uno de los investigadores que descubrió la última vulnerabilidad de Kia y trabajó con un grupo más amplio, responsable de la anterior colección de problemas de seguridad web de automóviles revelados en enero del año pasado.
«Una y otra vez, estos problemas puntuales siguen apareciendo», de acuerdo con Sam Curry, otro miembro del grupo de piratas informáticos de autos, que trabaja como ingeniero de seguridad para la empresa Web3, Yuga Labs, pero dice que hizo esta investigación de forma independiente. «Han pasado dos años, se ha trabajado mucho y bien para solucionar este problema, pero todavía parece roto».
Leer una matrícula y hackear un automóvil
Antes de alertar a Kia sobre su última vulnerabilidad de seguridad, el grupo de investigación probó su técnica basada en la web en un puñado de Kias (alquilados, autos de amigos, incluso vehículos en lotes de concesionarios) y descubrió que funcionaba en todos los casos. También mostraron la técnica a WIRED, demostrándola en el Kia Soul 2020 de un investigador de seguridad que les habían presentado minutos antes en un estacionamiento de Denver, Colorado, como se ve en el video de arriba.
La técnica de pirateo de Kia basada en la web del grupo no permite a un hacker acceder a los sistemas de conducción, como la dirección o los frenos, ni superar el llamado inmovilizador que impide que un auto se ponga en marcha, aunque su encendido esté conectado. Sin embargo, podría haberse combinado con técnicas de desactivación de inmovilizadores muy populares entre los ladrones de autos o haberse usado para robar vehículos de gama baja que no tienen inmovilizadores, incluidos algunos Kias.
Multiple plugins and/or themes for WordPress are vulnerable to Limited File Upload in various versions. This is due to a lack of proper checks to ensure lower-privileged roles cannot upload .css and .js files to arbitrary directories. This makes it possible for authenticated attackers, with Subscriber-level access and above, and granted permissions by an administrator, to upload .css and .js files to any directory within the WordPress root directory, which could lead to Stored Cross-Site Scripting. The Advanced File Manager Shortcodes plugin must be installed to exploit this vulnerability.
26/09/2024
26/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
6.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
The Advanced File Manager plugin for WordPress is vulnerable to Local JavaScript File Inclusion in all versions up to, and including, 5.2.8 via the 'fma_locale' parameter. This makes it possible for authenticated attackers, with Administrator-level access and above, to include and execute arbitrary files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where images and other “safe” file types can be uploaded and included.
26/09/2024
26/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.20
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
The Advanced File Manager plugin for WordPress is vulnerable to arbitrary file uploads via the 'class_fma_connector.php' file in all versions up to, and including, 5.2.8. This makes it possible for authenticated attackers, with Subscriber-level access and above, and granted permissions by an Administrator, to upload a new .htaccess file allowing them to subsequently upload arbitrary files on the affected site's server which may make remote code execution possible.
26/09/2024
26/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Files or Directories Accessible to External Parties vulnerability in National Keep Cyber Security Services CyberMath allows Collect Data from Common Resource Locations.This issue affects CyberMath: before CYBM.240816253.
26/09/2024
26/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
The Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 1.15.27 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Administrator-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
26/09/2024
26/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Incorrect Authorization vulnerability in National Keep Cyber Security Services CyberMath allows Accessing Functionality Not Properly Constrained by ACLs.This issue affects CyberMath: before CYBM.240816253.
26/09/2024
26/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
