Vulnerabilidad de inyección de objetos PHP en plugin de WordPress

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Gravity Forms de WordPress, que permitiría a un atacante no autenticado realizar inyección de objetos PHP en el entorno de la aplicación y potencialmente eliminar archivos arbitrarios, obtener acceso no autorizado a información confidencial o ejecutar código. 

La vulnerabilidad identificada como CVE-2023-28782, de severidad “Alta”, con una puntuación asignada de 8.3. Esta vulnerabilidad de inyección de objetos PHP se debe a una falla de validación de datos de entrada del usuario en la función maybe_unserialize del plugin Gravity Forms de WordPress. Esto permitiría a un atacante no autenticado a través de una cadena Property-Oriented Programming (POP) especialmente diseñada para el sitio web, potencialmente eliminar archivos arbitrarios, obtener acceso no autorizado a información confidencial o ejecutar código dependiendo de la cadena POP disponible. 

El producto afectado es: 

  • Plugin Gravity Forms de WordPress, versión 2.7.3 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en la siguiente guía: 

Referencias: 

Compartir: