eCommerce Product Catalog <= 3.4.3 - Authenticated (Orders manager+) PHP Object Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP en el plugin eCommerce Product Catalog en versiones hasta la 3.4.3. Esta vulnerabilidad permite la ejecución remota de código a través de un acceso autenticado en el gestor de pedidos.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja ciertos datos de entrada, permitiendo a un atacante autenticado inyectar objetos PHP maliciosos. Esto puede ser explotado a través de la funcionalidad del gestor de pedidos del plugin, ampliando la superficie de ataque a cualquier usuario con acceso a esta área.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute código arbitrario en el servidor, lo que podría comprometer la integridad y disponibilidad del sitio web. Esto puede resultar en la pérdida de datos, alteraciones no autorizadas y daños a la reputación del negocio.

Vector de explotación

La explotación generalmente se lleva a cabo por un usuario autenticado que envía datos manipulados a través del gestor de pedidos, aprovechando la falta de validación adecuada de los objetos PHP.

Mitigación recomendada

Para mitigar el riesgo, se recomienda actualizar el plugin a la versión 3.4.4 o superior. Adicionalmente, se sugiere implementar controles de acceso más estrictos y realizar auditorías regulares del código para detectar vulnerabilidades similares.

Señales de detección

Las señales de posible explotación incluyen comportamientos inusuales en el gestor de pedidos, registros de errores relacionados con la ejecución de código PHP y accesos no autorizados a áreas restringidas del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin eCommerce Product Catalog hasta la 3.4.3. La vulnerabilidad fue publicada el 22 de junio de 2025.