Broadcast Live Video – Live Streaming : WebRTC, HLS, RTSP, RTMP < 7.1.3 - Unauthenticated PHP Object Injection en Videowhisper Live Streaming Integration (vulnerabilidad)

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP no autenticada en el plugin Videowhisper Live Streaming, afectando a versiones anteriores a la 7.1.3. Este fallo de bypass de autenticación puede comprometer la seguridad del sitio, permitiendo a atacantes ejecutar código malicioso.

Contexto técnico

La vulnerabilidad se origina en el plugin Videowhisper Live Streaming, específicamente en las versiones anteriores a la 7.1.3. La superficie de ataque se centra en la falta de validación de entrada en las solicitudes PHP, lo que permite la inyección de objetos sin necesidad de autenticación previa.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el servidor, comprometiendo la integridad y disponibilidad del sitio. Esto puede resultar en pérdida de datos, alteración de contenido o incluso el control total del servidor.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que aprovechan la falta de validación en el manejo de objetos PHP, permitiendo la ejecución de código no autorizado.

Mitigación recomendada

Actualizar el plugin Videowhisper Live Streaming a la versión 7.1.3 o superior. Revisar y asegurar la configuración del servidor para prevenir la ejecución de código no autorizado. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y monitoreo de tráfico.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales, intentos de ejecución de scripts PHP no autorizados y cambios inesperados en archivos del sistema.

Alcance afectado

Las versiones del plugin Videowhisper Live Streaming anteriores a la 7.1.3 están afectadas. No se han confirmado casos de explotación en versiones posteriores.