lunes, 20 de agosto de 2018

Un nuevo ataque de ejecución de código PHP pone en riesgo los sitios de WordPress


Sam Thomas, un investigador de seguridad de Secarma, ha descubierto una nueva técnica de exploit que podría facilitar a los piratas informáticos desencadenar vulnerabilidades críticas de deserialización en el lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.
La nueva técnica deja cientos de miles de aplicaciones web abiertas para ataques remotos de ejecución de código, incluidos sitios web impulsados ​​por algunos sistemas populares de administración de contenido como WordPress y Typo3.

Las vulnerabilidades de serialización PHP o inyección de objetos se documentaron inicialmente en 2009, lo que podría permitir a un atacante realizar diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función PHP unserialize ().

Si no lo sabe, la serialización es el proceso de conversión de objetos de datos en una cadena simple, y el programa de ayuda de la función de desinstalación vuelve a crear un objeto a partir de una cadena.
Thomas descubrió que un atacante puede usar funciones de bajo riesgo contra archivos Phar para desencadenar ataques de deserialización sin requerir el uso de la función unserialize () en una amplia gama de escenarios.

Thomas informó esta vulnerabilidad al equipo de seguridad de WordPress a principios del año pasado, y la compañía reconoció el problema. Sin embargo, el parche lanzado por la compañía no resolvió el problema por completo.


No hay comentarios:

Publicar un comentario