Um plug-in anti-spam do WordPress com mais de 60.000 instalações corrigiu uma vulnerabilidade de injeção de objeto PHP que surgiu da sanitização inadequada de entradas, permitindo subsequentemente a entrada do usuário codificada em base64.
Injeção de objeto PHP não autenticada
< p>Uma vulnerabilidade foi descoberta no popular Stop Spammers Security | Bloquear spam de usuários, comentários, formulários WordPress plug-in.
O objetivo do plug-in é interromper o spam em comentários, formulários e registros de inscrição. Ele pode parar bots de spam e permite que os usuários insiram endereços IP para bloquear.
É uma prática obrigatória para qualquer plug-in ou formulário do WordPress que aceite uma entrada do usuário para permitir apenas entradas específicas, como texto, imagens, endereços de e-mail, qualquer entrada esperada.
As entradas inesperadas devem ser filtradas. Esse processo de filtragem que impede entradas indesejadas é chamado de sanitização.
Por exemplo, um formulário de contato deve ter uma função que inspecione o que é enviado e bloqueie (higienize) qualquer coisa que não seja text.
A vulnerabilidade descoberta no plug-in anti-spam permitia entrada codificada (codificada em base64) que pode desencadear um tipo de vulnerabilidade chamada vulnerabilidade de injeção de objeto PHP.
A descrição de a vulnerabilidade publicada no site WPScan descreve o problema como:
“O plug-in passa a entrada do usuário codificada em base64 para a função PHP unserialize() quando o CAPTCHA é usado como segundo desafio, o que pode levar à injeção de objeto PHP se um plug-in instalado no blog tiver uma cadeia de gadgets adequada…”
A classificação da vulnerabilidade é Desserialização insegura.
A organização sem fins lucrativos Ope n Web Application Security Project (OWASP) descreve o impacto potencial desses tipos de vulnerabilidades como sério, o que pode ou não ser o caso específico dessa vulnerabilidade.
O descrição na OWASP:
“ O impacto das falhas de desserialização não pode ser exagerado. Essas falhas podem levar a ataques de execução remota de código, um dos ataques mais sérios possíveis.
O impacto nos negócios depende das necessidades de proteção do aplicativo e dos dados.”
Mas OWASP também observa que explorar esse tipo de vulnerabilidade tende a ser difícil:
“A exploração da desserialização é um tanto difícil, pois as explorações prontas para uso raramente funcionam sem alterações ou ajustes no código de exploração subjacente.”< /p>
A vulnerabilidade no plug-in Stop Spammers Security do WordPress foi corrigida na versão 2022.6
O oficial Stop Spammers Security changelog (uma descrição com datas de várias atualizações) observa a correção como um aprimoramento de segurança.
Os usuários do plug-in Stop Spam Security devem considerar a atualização para a versão mais recente para evitar que um hacker explore o plug-in.
R Leia a notificação oficial no banco de dados de vulnerabilidade nacional do governo dos Estados Unidos:
Leia a publicação WPScan de detalhes relacionados a esta vulnerabilidade:
Stop Spammers Security < 2022.6 – Injeção de objeto PHP não autenticado
Imagem em destaque por Shutterstock/Luis Molinero