Paid Videochat Turnkey Site – HTML5 PPV Live Webcams <= 7.3.23 - Unauthenticated PHP Object Injection (vulnerabilidad) - version 7.3.24

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de tipo autenticación bypass en el plugin PPV Live Webcams, que permite la inyección de objetos PHP sin autenticación. Esta falla, con un CVSS de 8.1, puede comprometer la seguridad operativa de los sitios afectados.

Contexto técnico

La vulnerabilidad se origina en el plugin PPV Live Webcams, afectando a versiones hasta la 7.3.23. La superficie de ataque se presenta a través de la falta de validación en las solicitudes, permitiendo a un atacante ejecutar código PHP malicioso sin necesidad de autenticarse.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el servidor, lo que podría llevar a la toma de control del sitio web o la exposición de datos sensibles. Esto puede resultar en pérdidas económicas y daños a la reputación de la organización.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante el envío de solicitudes manipuladas que aprovechan la falta de control de acceso en el plugin, permitiendo la ejecución de código malicioso.

Mitigación recomendada

Actualizar el plugin PPV Live Webcams a la versión 7.3.24 o superior. Revisar y reforzar las configuraciones de seguridad del servidor y del plugin. Monitorear los registros de acceso para detectar actividades sospechosas.

Señales de detección

Señales para detectar la explotación incluyen entradas inusuales en los registros de acceso y errores relacionados con la ejecución de scripts PHP no autorizados.

Alcance afectado

Las versiones del plugin PPV Live Webcams hasta la 7.3.23 están afectadas. No se han confirmado casos en versiones posteriores a la 7.3.24.