Se descubrió una vulnerabilidad crítica, identificada como CVE-2023-26326 y una puntuación CVSS de 9.8, de deserialización no autenticada en el complemento BuddyForms de WordPress.
La vulnerabilidad existe en la función ‘buddyforms_upload_image_from_url()’ que permite la deserialización de entradas no confiables a través del parámetro ‘url’.
Un atacante no autenticado podría aprovechar este problema para llamar a los archivos usando un envoltorio PHAR que deserializará los datos y llamará a objetos PHP arbitrarios que pueden usarse para realizar una variedad de acciones maliciosas siempre que también esté presente una cadena POP.
Prueba de concepto (PoC)
Un atacante puede explotar esta vulnerabilidad en tres pasos:
- Crear un archivo PHAR malicioso.
- Cargar el archivo PHAR malicioso como una imagen a través de la acción upload_image_from_url.
- Llamar el archivo con el contenedor phar:// usando la misma acción.
Versiones afectadas
- BuddyForms versiones anteriores a la 2.7.8
Mitigación
WordPress ha abordado esta vulnerabilidad en su versión 2.7.8 o superiores.
Recomendaciones
- Realizar lo antes posible la actualización a la versión recomendada o a su última versión desde la página oficial del proveedor.
Referencias