Export and Import Users and Customers <= 2.6.2 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Export and Import Users and Customers' para WooCommerce, que permite la inyección de objetos PHP a través del parámetro 'form_data'. Esta falla afecta a las versiones hasta la 2.6.2 y podría ser explotada por administradores autenticados.

Contexto técnico

La vulnerabilidad se origina en un manejo inadecuado de los datos del formulario en el plugin, permitiendo que un atacante con privilegios de administrador inyecte objetos PHP maliciosos. Esto puede comprometer la integridad del sistema al ejecutar código no autorizado.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con acceso administrativo ejecutar código arbitrario, lo que podría llevar a la pérdida de datos, compromisos de seguridad y la posibilidad de tomar el control completo del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad generalmente ocurre cuando un administrador envía datos manipulados a través del formulario del plugin, lo que desencadena la inyección de código malicioso en el entorno de ejecución de PHP.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.6.3 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de seguridad adicionales, como la validación de datos y el uso de medidas de seguridad en el servidor.

Señales de detección

Señales de posible explotación incluyen actividad inusual en los registros de acceso de administradores, intentos de carga de archivos no autorizados y errores relacionados con la ejecución de código PHP en el entorno de WordPress.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.6.3 del plugin 'Export and Import Users and Customers for WooCommerce'.