ADFO – Custom data in admin dashboard <= 1.9.1 - Authenticated (Admin+) PHP Object Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin ADFO – Custom data in admin dashboard, que permite la inyección de objetos PHP a través de usuarios autenticados con privilegios de administrador. Esta vulnerabilidad tiene un CVSS de 7.2, lo que indica un riesgo elevado para la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de datos en el panel de administración, permitiendo a un atacante autenticado manipular objetos PHP. Esto puede llevar a la ejecución de código malicioso en el servidor, comprometiendo la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante con acceso administrativo ejecutar código arbitrario, lo que podría resultar en la pérdida de datos, la alteración del funcionamiento del sitio web o el acceso no autorizado a información sensible.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad mediante la manipulación de solicitudes HTTP que interactúan con las funciones del plugin, utilizando credenciales de administrador para ejecutar su código malicioso.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin ADFO a la versión 1.9.1 o superior. Además, se debe revisar y restringir el acceso a los usuarios con privilegios de administrador, y aplicar buenas prácticas de seguridad en la configuración del servidor.

Señales de detección

Señales de posible explotación incluyen actividades inusuales en el panel de administración, como cambios no autorizados en la configuración del plugin o la creación de archivos PHP no reconocidos en el servidor.

Alcance afectado

Las versiones del plugin ADFO anteriores a la 1.9.1 son vulnerables. Se recomienda a los administradores de WordPress que verifiquen si están utilizando una versión afectada.