PHP Everywhere <= 2.0.3 - Authenticated (Contributor+) Remote Code Execution via Metabox

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin PHP Everywhere, que permite la ejecución remota de código a través de metaboxes para usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad, catalogada con un CVSS de 9.9, afecta a las versiones hasta la 2.0.3.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las entradas en los metaboxes del plugin PHP Everywhere. Esto permite a usuarios autenticados, con permisos de colaborador o superiores, ejecutar código PHP arbitrario en el servidor, comprometiendo la integridad del sitio web.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante ejecutar código malicioso en el servidor, lo que podría resultar en la toma de control total del sitio, robo de datos sensibles y daño a la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad al autenticarse como colaboradores o usuarios con permisos superiores y enviar código PHP malicioso a través de los metaboxes del plugin, lo que les permite ejecutar comandos en el servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin PHP Everywhere a la versión 3.0.0 o superior. Además, se sugiere revisar los permisos de los usuarios y limitar el acceso a roles que no requieran la ejecución de código PHP.

Señales de detección

Las señales de riesgo pueden incluir intentos de ejecución de código PHP en logs del servidor, cambios no autorizados en archivos del plugin o actividad sospechosa por parte de usuarios con permisos elevados.

Alcance afectado

Las versiones del plugin PHP Everywhere hasta la 2.0.3 están afectadas por esta vulnerabilidad. Los sitios que utilicen estas versiones son susceptibles a ataques.