El equipo de Threat Intelligence de Wordfence descubrió una vulnerabilidad crítica de inyección de objetos en ‘Welcart’, un plugin de WordPress con más de 20,000 instalaciones.
La vulnerabilidad, identificada como CVE-2020-28339, permite una Inyección de Objetos debido a la función usces_unserialize, la cual se invoca en get_cookie(), y es usada para decodificar el contenido de las cookies necesarias para rastrear las sesiones de los usuarios de la tienda.
Un atacante autenticado de forma remota podría modificar el parámetro usces_cookie a su antojo y conseguir comprometer el sistema mediante la inyección de un objeto PHP.
Productos afectados:
- WP Plugin Welcart: son vulnerables los sitios web con plugin cuya versión sea anterior a 1.9.36.
Recomendación:
- Actualizar WP Plugin Welcart a la última versión disponible: Welcart 1.9.36
Más información: