El plugin Backup Migration para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.4.6 a través de la deserialización de datos no confiables en la función ‘recursive_unserialize_replace’. Esto hace posible que atacantes no autenticados inyecten un Objeto PHP. La presencia adicional de una cadena de POP permite a los atacantes eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código. Un administrador debe crear un sitio de pruebas para desencadenar el exploit.
Los usuarios afectados por esta vulnerabilidad en el plugin Backup Migration <= 1.4.6 deben actualizar urgentemente a la última versión disponible para eliminar la posibilidad de inyección de objeto PHP. Además, se recomienda a los administradores de sitios web WordPress implementar medidas de seguridad adicionales, como la limitación de acceso a los plugins solo a usuarios autorizados y la monitorización constante del tráfico de red en busca de actividad sospechosa.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y themes actualizados para evitar vulnerabilidades conocidas como la Inyección de Objetos PHP. La vigilancia constante y la aplicación de las últimas actualizaciones de software son pasos clave para proteger tu sitio WordPress contra posibles amenazas cibernéticas.