WP All Import Pro <= 4.9.7 - Authenticated (Administrator+) PHP Object Injection via Import File

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP en el plugin WP All Import Pro, que afecta a las versiones anteriores a la 4.9.8. Este fallo permite a administradores autenticados ejecutar código malicioso a través de archivos de importación.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa archivos de importación, permitiendo la inyección de objetos PHP. Esto puede ser explotado por un administrador autenticado para manipular la ejecución del código en el servidor, aumentando la superficie de ataque.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante con privilegios de administrador ejecutar código arbitrario, lo que podría comprometer la integridad y disponibilidad del sitio web, así como la confidencialidad de los datos.

Vector de explotación

Suele explotarse mediante la carga de un archivo de importación diseñado específicamente que contiene código malicioso, aprovechando la autorización de un administrador para ejecutar dicho código en el servidor.

Mitigación recomendada

Actualizar el plugin WP All Import Pro a la versión 4.9.8 o superior. Además, se recomienda revisar los permisos de usuario y realizar auditorías regulares de seguridad en los plugins instalados.

Señales de detección

Señales de riesgo pueden incluir comportamientos inusuales en el servidor, como ejecuciones de scripts no autorizados o cambios inesperados en archivos del sistema. Monitorear los registros de actividad de los administradores también puede ayudar a identificar posibles intentos de explotación.

Alcance afectado

Las versiones del plugin WP All Import Pro hasta la 4.9.7 están afectadas. Es crucial verificar las instalaciones para asegurar que se esté utilizando la versión corregida.