Contenidos
Vulnerabilidad de WordPress descubierta en el popular complemento antispam instalado en más de 60,000 sitios web
Un complemento antispam de WordPress con más de 60 000 instalaciones corrigió una vulnerabilidad de inyección de objetos PHP que surgió de la desinfección inadecuada de las entradas, lo que permitió posteriormente la entrada del usuario codificada en base64.
Inyección de objetos PHP no autenticados
Se descubrió una vulnerabilidad en el popular Stop Spammers Security |
El propósito del complemento es detener el spam en comentarios, formularios y registros de registro. Puede detener los bots de spam y tiene la capacidad de que los usuarios ingresen direcciones IP para bloquear.
Es una práctica requerida para cualquier complemento o formulario de WordPress que acepte una entrada del usuario para permitir solo entradas específicas, como texto, imágenes, direcciones de correo electrónico, cualquier entrada que se espere.
Las entradas inesperadas deben filtrarse Ese proceso de filtrado que evita las entradas no deseadas se llama sanitización.
Por ejemplo, un formulario de contacto debe tener una función que inspeccione lo que se envía y bloquee (desinfecte) cualquier cosa que no sea texto.
La vulnerabilidad descubierta en el complemento antispam permitió la entrada codificada (codificada en base64) que luego puede desencadenar un tipo de vulnerabilidad llamada vulnerabilidad de inyección de objetos PHP.
La descripción de la vulnerabilidad publicada en el sitio web de WPScan describe el problema como: published
“The plugin passes base64 encoded user input to the unserialize() PHP function when CAPTCHA are used as second challenge, which could lead to PHP Object injection if a plugin installed on the blog has a suitable gadget chain…”
«El complemento pasa la entrada del usuario codificada en base64 a la función PHP unserialize () cuando se usa CAPTCHA como segundo desafío, lo que podría conducir a la inyección de objetos PHP si un complemento instalado en el blog tiene una cadena de dispositivos adecuada…»
La clasificación de la vulnerabilidad es Deserialización insegura.
El Open Web Application Security Project (OWASP) sin fines de lucro describe el impacto potencial de este tipo de vulnerabilidades como grave, que puede o no ser el caso específico de esta vulnerabilidad.
La descripción en OWASP: description
“The impact of deserialization flaws cannot be overstated. These flaws can lead to remote code execution attacks, one of the most serious attacks possible.
The business impact depends on the protection needs of the application and data.”
“El impacto de las fallas de deserialización no se puede exagerar Estos defectos pueden dar lugar a ataques de ejecución remota de código, uno de los ataques más graves posibles.
Pero OWASP también señala que explotar este tipo de vulnerabilidad tiende a ser difícil:
“Exploitation of deserialization is somewhat difficult, as off the shelf exploits rarely work without changes or tweaks to the underlying exploit code.”
“La explotación de la deserialización es algo difícil, ya que las explotaciones estándar rara vez funcionan sin cambios o ajustes en el código de explotación subyacente”.
La vulnerabilidad en el complemento de WordPress Stop Spammers Security se corrigió en la versión 2022.6
El registro de cambios oficial de Stop Spammers Security (una descripción con fechas de varias actualizaciones) señala la solución como una mejora de la seguridad. Stop Spammers Security changelog
Los usuarios del complemento Stop Spam Security deben considerar actualizar a la última versión para evitar que un hacker explote el complemento.
Lea la notificación oficial en la base de datos nacional de vulnerabilidad del gobierno de los Estados Unidos:
CVE-2022-4120 Detalle CVE-2022-4120 Detail
Lea la publicación de WPScan de detalles relacionados con esta vulnerabilidad:
Stop Spammers Security < 2022.6 – Inyección de objetos PHP no autenticados Stop Spammers Security < 2022.6 – Unauthenticated PHP Object Injection
Imagen destacada de Shutterstock/Luis Molinero
Leer el articulo original en Search Engine Journal.