Free Stock Photos Foter <= 1.5.4 - Authenticated (Subscriber+) PHP Object Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Free Stock Photos Foter' en versiones anteriores a 1.5.4, que permite la inyección de objetos PHP autenticados. Este fallo podría comprometer la seguridad del sitio web y permitir acciones no autorizadas por parte de un atacante con privilegios de suscriptor o superiores.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios autenticados, permitiendo la inyección de objetos PHP. Esto puede dar lugar a la ejecución de código malicioso en el servidor, afectando la integridad del sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad es alto, ya que permite a un atacante autenticado ejecutar código arbitrario, lo que podría resultar en la toma de control del sitio, robo de datos sensibles o la instalación de malware. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas desde cuentas de usuario autenticadas, especialmente aquellas con privilegios de suscriptor o superiores, para inyectar código PHP malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.5.4 o superior. Además, es aconsejable revisar los permisos de los usuarios y aplicar prácticas de hardening en la configuración de WordPress.

Señales de detección

Señales de posible explotación incluyen registros inusuales de actividad de usuarios autenticados, cambios inesperados en archivos del sistema y alertas de seguridad relacionadas con la ejecución de código no autorizado.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.4 del plugin 'Free Stock Photos Foter'.