PHPSpreadsheet Library < 2.3.0 - XXE Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en la biblioteca PHPSpreadsheet utilizada por el plugin 'Webd WooCommerce Product Excel Importer & Bulk Edit'. Esta falla, catalogada como inyección XXE, puede comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se origina en la forma en que PHPSpreadsheet maneja las entradas XML, permitiendo a un atacante inyectar entidades externas. Esto puede llevar a la exposición de información sensible o a la ejecución de código malicioso en el servidor.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a datos confidenciales del servidor, lo que podría resultar en la pérdida de información crítica y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando archivos XML manipulados al plugin, lo que desencadena la inyección de entidades externas y permite la filtración de datos.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 4.7 o superior, donde la vulnerabilidad ha sido corregida. Además, se sugiere revisar las configuraciones de seguridad y limitar el acceso a los archivos sensibles del servidor.

Señales de detección

Señales de posible explotación incluyen la detección de archivos XML inusuales en las solicitudes de entrada y registros de acceso que muestran patrones de acceso sospechosos a los recursos del servidor.

Alcance afectado

Las versiones de PHPSpreadsheet anteriores a la 2.3.0 utilizadas en el plugin mencionado son las afectadas. Es crucial que los usuarios de este plugin verifiquen su versión actual.