Un complement anti-spam de WordPress amb més de 60.000 instal·lacions va corregir una vulnerabilitat d’injecció d’objectes PHP que va sorgir d’una desinfecció inadequada de les entrades i, posteriorment, va permetre l’entrada d’usuari codificada en base64.
Injecció d’objectes PHP no autenticat
S’ha descobert una vulnerabilitat al popular Stop Spammers Security | Bloqueja usuaris de correu brossa, comentaris, complements de WordPress de formularis.
El propòsit del connector és aturar el correu brossa en comentaris, formularis i registres de registre. Pot aturar els robots de correu brossa i té la possibilitat que els usuaris introdueixin adreces IP per bloquejar.
És una pràctica obligatòria per a qualsevol complement o formulari de WordPress que accepti una entrada d’usuari per permetre només entrades específiques, com ara text, imatges, adreces de correu electrònic, qualsevol entrada que s’esperi.
Les entrades inesperades s’han de filtrar. Es diu aquest procés de filtrat que evita les entrades no desitjades desinfecció.
Per exemple, un formulari de contacte hauria de tenir una funció que inspeccioni el que s’envia i bloqueja (desinfecta) qualsevol cosa que no sigui text.
La vulnerabilitat descoberta al connector anti-spam va permetre una entrada codificada (codificada en base64) que després pot desencadenar un tipus de vulnerabilitat anomenada vulnerabilitat d’injecció d’objectes PHP.
La descripció de la vulnerabilitat publicat al lloc web de WPScan descriu el problema com:
“El connector passa l’entrada d’usuari codificada en base64 a la funció PHP unserialize() quan s’utilitzen CAPTCHA com a segon desafiament, cosa que podria provocar la injecció d’objectes PHP si un connector instal·lat al bloc té una cadena de gadgets adequada…”
La classificació de la vulnerabilitat és Deserialització insegura.
El projecte de seguretat d’aplicacions web obertes (OWASP) sense ànim de lucre descriu l’impacte potencial d’aquest tipus de vulnerabilitats com a greus, que pot ser o no el cas específic d’aquesta vulnerabilitat.
El descripció a OWASP:
“L’impacte dels defectes de deserialització no es pot exagerar. Aquests defectes poden provocar atacs d’execució de codi remota, un dels atacs més greus possibles.
L’impacte empresarial depèn de les necessitats de protecció de l’aplicació i les dades”.
Però OWASP també assenyala que explotar aquest tipus de vulnerabilitat sol ser difícil:
“L’explotació de la deserialització és una mica difícil, ja que les explotacions comercials rarament funcionen sense canvis o ajustaments al codi d’explotació subjacent”.
La vulnerabilitat del connector de WordPress Stop Spammers Security es va solucionar a la versió 2022.6
L’oficial Atura el registre de canvis de seguretat dels spammers (una descripció amb dates de diverses actualitzacions) assenyala la correcció com una millora per a la seguretat.
Els usuaris del connector Stop Spam Security haurien de considerar l’actualització a la darrera versió per evitar que un pirata informàtic exploti el connector.
Llegiu la notificació oficial a la base de dades nacional de vulnerabilitats del govern dels Estats Units:
Llegiu la publicació de WPScan de detalls relacionats amb aquesta vulnerabilitat:
Atura la seguretat dels spammers < 2022.6 - Injecció d'objectes PHP no autenticats
Imatge destacada de Shutterstock/Luis Molinero
![Estratègies d’enllaç i blocs per al 2023 [Podcast]](https://i0.wp.com/serveistic.net/wp-content/uploads/2023/02/Estrategies-denllac-i-blocs-per-al-2023-Podcast.jpg?resize=270%2C270&ssl=1 "Estratègies d’enllaç i blocs per al 2023 [Podcast]")
