Ulysses Saicha

notas de investigación

CVE-2025-13997: Exposición no autenticada de API keys en King Addons for Elementor Un problema en King Addons for Elementor donde API keys quedaban expuestas en el código fuente renderizado de la página. CVE-2025-13587: Bypass de autenticación de dos factores en Two Factor via Email Un problema en un plugin 2FA de WordPress donde el manejo del token podía permitir saltarse el segundo factor por email. CVE-2024-6288: XSS reflejado en Conversios WooCommerce Tracking Un problema de cross-site scripting reflejado en el plugin de tracking de WooCommerce Conversios. CVE-2023-6875: Omisión de autorización en POST SMTP Mailer hasta toma de control de cuenta admin Mi hallazgo de omisión de autorización en POST SMTP Mailer, el flujo del proof of concept y por qué el impacto era alto. CVE-2023-7048: CSRF para exportar leads de contacto en My Sticky Bar Un problema de CSRF en My Sticky Bar que podía disparar la exportación CSV de leads desde el navegador de un administrador. dCTF 2021: Behind The Scenes Resolviendo un reto de imagen de dCTF con Depix y recortando cuidadosamente texto pixelado. dCTF 2021: Company Leak Usando internals de ZIP y bkcrack para abordar un reto con un archivo cifrado anidado. dCTF 2021: Discord PingPong Investigando un binario Go de un bot de Discord y recuperando el camino hacia la flag del reto. dCTF 2021: Mi primer CTF Notas de mi primer CTF en vivo: el equipo, el rastro de búsquedas y algunos descubrimientos laterales del fin de semana. dCTF 2021: Injection Encontrando SSTI en Flask/Jinja, leyendo archivos fuente y decodificando la contraseña final.

Mostrando 10 de 15 posts. Ver el archivo.