Vulnerabilidad de inyección de objetos PHP descubierta en un complemento conocido: podría afectar a 60.000 sitios web

Ha habido una nueva vulnerabilidad de inyección de objetos PHP que se descubrió en un conocido complemento de WordPress (con alrededor de 60.000 instalaciones en el momento de escribir este artículo).

Esta vulnerabilidad en particular tiene una puntuación CVSS (Common Vulnerability Scoring System) generalmente alta de 8,1 (sobre 10) y afecta a la Complemento de calendario de reservas por wpdevelop/oplugins.

El complemento permite al propietario de un sitio web reservar citas con clientes potenciales (o clientes existentes) utilizando el sistema de reservas en línea.

También viene con la capacidad de publicar una línea de tiempo flexible que también muestra las reservas y vacantes existentes utilizando el siguiente código corto: [bookingflextimeline].

Según lo informado por valla de palabras:

La línea de tiempo flexible incluye la capacidad de configurar preferencias y opciones de visualización al visualizar la línea de tiempo publicada. Algunas de estas opciones se pasaron en el formato de datos serializados de PHP y se deserializaron mediante la función define_request_view_params_from_params en core/timeline/v2/wpbc-class-timeline_v2.php.

Un atacante podría controlar los datos serializados mediante varios métodos:

  1. Si se publicara una línea de tiempo, un atacante no autenticado podría obtener el nonce necesario para enviar una solicitud AJAX con la acción configurada en WPBC_FLEXTIMELINE_NAV y un timeline_obj.[options] parámetro establecido en un objeto PHP serializado.
  2. Cualquier atacante autenticado podría usar la acción AJAX parse-media-shortcode incorporada para ejecutar el [bookingflextimeline] shortcode, agregando un atributo de opciones en el shortcode establecido en un objeto PHP serializado. Esto funcionaría incluso en sitios sin una línea de tiempo publicada.
  3. Un atacante con privilegios de nivel de colaborador o superior también podría incrustar el [bookingflextimeline] shortcode que contiene un atributo de opciones maliciosas en una publicación y ejecutarlo obteniendo una vista previa, u obtener el nonce WPBC_FLEXTIMELINE_NAV obteniendo una vista previa del [bookingflextimeline] shortcode y luego usando el método n.° 1.
Leer:  Búsqueda de Tendencias de Google: la guía definitiva

Cada vez que un atacante puede controlar datos que PHP no serializa, puede inyectar un objeto PHP con las propiedades de su elección. Si también está presente una “Cadena POP”, puede permitir que un atacante ejecute código arbitrario, elimine archivos o de otro modo destruya o obtenga el control de un sitio web vulnerable. Afortunadamente, no había ninguna cadena POP en el complemento de Booking, por lo que un atacante necesitaría algo de suerte e investigación adicional para aprovechar esta vulnerabilidad. No obstante, las cadenas POP aparecen en varias bibliotecas de software populares, por lo que muchos sitios aún podrían ser explotados si se instala otro complemento que utilice una de estas bibliotecas.

Asegúrese de parchear sus complementos si aún no lo ha hecho

Recomendamos actualizar sus complementos a la versión más reciente, ya que han sido parcheados.

Al asegurarse de estar actualizado a las últimas versiones, no corre el riesgo de verse comprometido por piratas informáticos que exploten estas vulnerabilidades.

Además, si aún no lo ha hecho, asegúrese de agregar un complemento de seguridad a su sitio como Wordfence, para que también pueda verificar este tipo de vulnerabilidades por usted.

Nuevas Publicaciones:

Recomendamos