WP Mail Logging <= 1.15.0 - Unauthenticated PHP Object Injection via Email Log Message Field

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP Mail Logging, que permite la inyección de objetos PHP no autenticados a través del campo de mensajes de registro de correo electrónico. Esta vulnerabilidad afecta a la versión 1.15.0 y anteriores, con una puntuación CVSS de 7.5.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los mensajes de correo electrónico registrados. Un atacante puede aprovechar esta debilidad para inyectar objetos PHP maliciosos, lo que podría llevar a la ejecución de código no autorizado en el servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad y confidencialidad del sistema, permitiendo a un atacante ejecutar código arbitrario. Esto podría resultar en la pérdida de datos sensibles, la toma de control del sitio web y daños a la reputación de la organización.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que incluyan datos manipulados en el campo de mensajes del registro de correo electrónico, sin necesidad de autenticarse.

Mitigación recomendada

Se recomienda actualizar el plugin WP Mail Logging a la versión 1.16 o superior de inmediato. Además, es aconsejable revisar los registros de actividad para detectar posibles intentos de explotación y aplicar medidas de seguridad adicionales en el servidor.

Señales de detección

Señales de posible explotación incluyen registros de correo electrónico que contengan datos inusuales o manipulados, así como solicitudes HTTP sospechosas dirigidas a la funcionalidad del plugin.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones que utilizan WP Mail Logging en versiones 1.15.0 y anteriores.