AI Engine <= 3.1.8 - Authenticated (Subscriber+) PHP Object Injection via PHAR Deserialization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP a través de la deserialización PHAR en el plugin AI Engine hasta la versión 3.1.8. Este fallo afecta a usuarios autenticados con rol de suscriptor o superior, permitiendo potencialmente la ejecución de código malicioso.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la deserialización de objetos PHP a través de archivos PHAR. Esto permite que un atacante autenticado manipule datos y ejecute código no autorizado, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con acceso limitado ejecutar código en el servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que el atacante esté autenticado como suscriptor o con un rol superior, lo que limita el acceso a usuarios malintencionados pero no elimina el riesgo para aquellos con credenciales válidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin AI Engine a la versión 3.1.9 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de seguridad como la limitación de acceso a funciones críticas del sistema.

Señales de detección

Señales de posible explotación incluyen actividad inusual en los logs de acceso, intentos de carga de archivos PHAR y cambios inesperados en la configuración del plugin o en los archivos del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.9 del plugin AI Engine, lo que incluye versiones anteriores y posiblemente instaladas en múltiples sitios.