Advanced Custom Fields <= 6.0.7 - Authenticated (Contributor+) PHP Object Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Advanced Custom Fields, que afecta a las versiones hasta la 6.0.7. Esta vulnerabilidad permite la inyección de objetos PHP por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las solicitudes de objetos PHP, permitiendo que un atacante autenticado manipule datos y ejecute código arbitrario. La superficie de ataque se centra en las funcionalidades que permiten la gestión de campos personalizados.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad del sitio web, permitiendo a un atacante ejecutar acciones no autorizadas, lo que podría resultar en la pérdida de datos o el control total del sistema. Esto puede tener graves repercusiones para la reputación y la operativa del negocio.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la manipulación de solicitudes a través de formularios de entrada, donde un usuario autenticado envía datos maliciosos que el plugin no valida correctamente.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Advanced Custom Fields a la versión 5.12.5 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas solo a roles necesarios.

Señales de detección

Se deben monitorizar registros de actividad que muestren accesos inusuales por parte de usuarios autenticados, así como cualquier intento de manipulación de datos en campos personalizados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Advanced Custom Fields hasta la 6.0.7. Es crucial que los administradores de WordPress verifiquen las versiones instaladas.