Geo Controller <= 8.6.4 - Unauthenticated PHP Object Injection via shortcode REST API Route

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Geo Controller, que permite la inyección de objetos PHP no autenticados a través de una ruta de API REST. Esta falla afecta a las versiones hasta la 8.6.4 y puede comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en un fallo de bypass de autenticación, permitiendo a un atacante enviar solicitudes maliciosas a la API REST del plugin sin necesidad de autenticación previa. Esto se traduce en la posibilidad de ejecutar código PHP arbitrario en el servidor, lo que puede tener consecuencias severas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es alto, ya que permite a un atacante ejecutar código en el servidor, lo que podría resultar en la toma de control total del sitio web, robo de datos sensibles o la instalación de malware. Esto puede afectar gravemente la reputación y la operatividad del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP maliciosas a la ruta de la API REST del plugin, aprovechando la falta de autenticación para inyectar y ejecutar código PHP.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Geo Controller a la versión 8.6.5 o superior. Además, es aconsejable revisar los permisos de acceso a la API REST y aplicar medidas de seguridad adicionales como la autenticación de solicitudes.

Señales de detección

Señales de riesgo incluyen registros de solicitudes inusuales a la API REST del plugin, especialmente aquellas que intentan acceder a funciones no autenticadas o que contienen parámetros sospechosos.

Alcance afectado

Las versiones afectadas incluyen todas las versiones del plugin Geo Controller hasta la 8.6.4. Las instalaciones que no han sido actualizadas a la versión 8.6.5 están en riesgo.