Un complemento antispam de WordPress con más de 60 000 instalaciones corrigió una vulnerabilidad de inyección de objetos PHP que surgió de la desinfección inadecuada de las entradas, lo que permitió posteriormente la entrada del usuario codificada en base64.
Inyección de objetos PHP no autenticados
Se descubrió una vulnerabilidad en el popular Stop Spammers Security | Bloquear usuarios de spam, comentarios, complemento de WordPress de formularios.
El propósito del complemento es detener el spam en comentarios, formularios y registros de registro. Puede detener los bots de spam y tiene la capacidad de que los usuarios ingresen direcciones IP para bloquear.
Es una práctica requerida para cualquier complemento o formulario de WordPress que acepte una entrada del usuario para permitir solo entradas específicas, como texto, imágenes, direcciones de correo electrónico, cualquier entrada que se espere.
Las entradas inesperadas deben filtrarse. Ese proceso de filtrado que evita las entradas no deseadas se llama desinfección.
Por ejemplo, un formulario de contacto debe tener una función que inspeccione lo que se envía y bloquee (desinfecte) cualquier cosa que no sea texto.
La vulnerabilidad descubierta en el complemento antispam permitió la entrada codificada (codificada en base64) que luego puede desencadenar un tipo de vulnerabilidad llamada vulnerabilidad de inyección de objetos PHP.
La descripción de la vulnerabilidad. publicado en el sitio web de WPScan describe el problema como:
«El complemento pasa la entrada del usuario codificada en base64 a la función PHP unserialize () cuando se usa CAPTCHA como segundo desafío, lo que podría conducir a la inyección de objetos PHP si un complemento instalado en el blog tiene una cadena de dispositivos adecuada…»
La clasificación de la vulnerabilidad es Deserialización insegura.
El Open Web Application Security Project (OWASP) sin fines de lucro describe el impacto potencial de este tipo de vulnerabilidades como grave, que puede o no ser el caso específico de esta vulnerabilidad.
Él descripción en OWASP:
“El impacto de las fallas de deserialización no puede exagerarse. Estos defectos pueden dar lugar a ataques de ejecución remota de código, uno de los ataques más graves posibles.
El impacto comercial depende de las necesidades de protección de la aplicación y los datos”.
Pero OWASP también señala que explotar este tipo de vulnerabilidad tiende a ser complicado:
“La explotación de la deserialización es algo difícil, ya que las explotaciones estándar rara vez funcionan sin cambios o ajustes en el código de explotación subyacente”.
La vulnerabilidad en el complemento de WordPress Stop Spammers Security se corrigió en la versión 2022.6
El oficial Registro de cambios de seguridad Stop Spammers (una descripción con fechas de varias actualizaciones) señala la solución como una mejora de la seguridad.
Los usuarios del complemento Stop Spam Security deben considerar actualizar a la última versión para evitar que un hacker explote el complemento.
Lea la notificación oficial en la base de datos nacional de vulnerabilidad del gobierno de los Estados Unidos:
Lea la publicación de WPScan de detalles relacionados con esta vulnerabilidad:
Stop Spammers Security < 2022.6 – Inyección de objetos PHP no autenticados
Imagen destacada de Shutterstock/Luis Molinero
Consultar el artículo en la publicación original
