Order Export & Order Import for WooCommerce <= 2.6.0 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Order Export & Order Import for WooCommerce' hasta la versión 2.6.0, que permite la inyección de objetos PHP a través del parámetro form_data. Esta vulnerabilidad, con un CVSS de 7.2, puede ser explotada por administradores autenticados.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja el parámetro form_data, lo que permite a un atacante inyectar objetos PHP maliciosos. Esto se considera una ejecución remota de código (RCE) y puede comprometer la integridad del sistema si se explota adecuadamente.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de código arbitrario en el servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y una interrupción significativa de los servicios. Esto podría afectar la confianza de los clientes y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante el envío de solicitudes manipuladas que incluyen el parámetro form_data, lo que permite la inyección de código PHP. Esto requiere que el atacante tenga acceso de administrador.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 2.6.1 o posterior para mitigar esta vulnerabilidad. Además, es aconsejable revisar los registros de acceso y actividad para detectar cualquier comportamiento inusual.

Señales de detección

Se deben monitorizar los registros de acceso para identificar intentos de explotación, como solicitudes inusuales que incluyan el parámetro form_data. También se pueden implementar herramientas de seguridad que alerten sobre cambios en los archivos del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.6.1 del plugin 'Order Export & Order Import for WooCommerce'.