Modal Popup Box – Popup Builder, Show Offers And News in Popup <= 1.5.2 - Authenticated (Contributor+) PHP Object Injection in awl_modal_popup_box_shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Modal Popup Box, que permite la inyección de objetos PHP a través de un shortcode específico. Esta vulnerabilidad afecta a las versiones hasta la 1.5.2 y puede ser explotada por usuarios autenticados con rol de contribuidor o superior.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de los datos en el shortcode 'awl_modal_popup_box_shortcode'. Este fallo permite a un atacante inyectar objetos PHP, lo que podría comprometer la ejecución de código arbitrario en el servidor.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante autenticado ejecutar código malicioso, lo que podría llevar a la toma de control total del sitio web. Esto puede resultar en pérdidas financieras, daño a la reputación y compromisos de datos sensibles.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el uso de un shortcode específico en una solicitud que incluye datos manipulados, permitiendo así la inyección de objetos PHP.

Mitigación recomendada

Se recomienda actualizar el plugin Modal Popup Box a la versión 1.5.3 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de los usuarios y aplicar principios de menor privilegio.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de errores inusuales o actividad sospechosa en las solicitudes que incluyen el shortcode afectado.

Alcance afectado

Las versiones del plugin Modal Popup Box hasta la 1.5.2 son vulnerables. La versión 1.5.3 corrige esta vulnerabilidad.