La vulnerabilidad de inyección de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a través de la deserialización de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente en el plugin vulnerable. Si una cadena POP está presente a través de un plugin adicional o tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código. Tenga en cuenta que el plugin es una caja de herramientas para desarrolladores. Para que la vulnerabilidad sea explotable, se requiere la presencia de una activación de metabox en su código (a través de functions.php, por ejemplo).
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin CMB2 a la última versión disponible, en este caso la versión 2.10.2, que corrige esta vulnerabilidad. Además, se sugiere revisar los complementos y temas adicionales instalados en el sistema WordPress en busca de posibles cadenas POP que podrían ser aprovechadas por atacantes. Se recomienda también mantener actualizados todos los plugins y temas, así como implementar buenas prácticas de seguridad en el desarrollo de sitios web.
Es crucial para la seguridad de su sitio WordPress mantener todos los plugins y temas actualizados, así como estar al tanto de las posibles vulnerabilidades que puedan afectar la plataforma. La inyección de objetos PHP es un tipo de vulnerabilidad seria que puede ser aprovechada por atacantes para comprometer la integridad y seguridad de su sitio. Al tomar medidas proactivas para proteger su sitio, puede reducir significativamente el riesgo de ser víctima de ataques cibernéticos.