{"id":3424,"date":"2024-04-03T15:45:18","date_gmt":"2024-04-03T15:45:18","guid":{"rendered":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/"},"modified":"2024-04-03T15:45:18","modified_gmt":"2024-04-03T15:45:18","slug":"cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/","title":{"rendered":"CMB2 <= 2.10.1 – Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+)"},"content":{"rendered":"
La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a trav\u00e9s de la deserializaci\u00f3n de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente en el plugin vulnerable. Si una cadena POP est\u00e1 presente a trav\u00e9s de un plugin adicional o tema instalado en el sistema objetivo, podr\u00eda permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar c\u00f3digo. Tenga en cuenta que el plugin es una caja de herramientas para desarrolladores. Para que la vulnerabilidad sea explotable, se requiere la presencia de una activaci\u00f3n de metabox en su c\u00f3digo (a trav\u00e9s de functions.php, por ejemplo).<\/div>\n

<\/p>\n

Para subsanar este problema, se recomienda a los usuarios actualizar el plugin CMB2 a la \u00faltima versi\u00f3n disponible, en este caso la versi\u00f3n 2.10.2, que corrige esta vulnerabilidad. Adem\u00e1s, se sugiere revisar los complementos y temas adicionales instalados en el sistema WordPress en busca de posibles cadenas POP que podr\u00edan ser aprovechadas por atacantes. Se recomienda tambi\u00e9n mantener actualizados todos los plugins y temas, as\u00ed como implementar buenas pr\u00e1cticas de seguridad en el desarrollo de sitios web.<\/div>\n
Es crucial para la seguridad de su sitio WordPress mantener todos los plugins y temas actualizados, as\u00ed como estar al tanto de las posibles vulnerabilidades que puedan afectar la plataforma. La inyecci\u00f3n de objetos PHP es un tipo de vulnerabilidad seria que puede ser aprovechada por atacantes para comprometer la integridad y seguridad de su sitio. Al tomar medidas proactivas para proteger su sitio, puede reducir significativamente el riesgo de ser v\u00edctima de ataques cibern\u00e9ticos.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a trav\u00e9s de la deserializaci\u00f3n de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1134],"class_list":["post-3424","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1792"],"yoast_head":"\nCMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a trav\u00e9s de la deserializaci\u00f3n de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-03T15:45:18+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/\",\"url\":\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/\",\"name\":\"CMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-04-03T15:45:18+00:00\",\"dateModified\":\"2024-04-03T15:45:18+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"CMB2 <= 2.10.1 – Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/","og_locale":"en_US","og_type":"article","og_title":"CMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es","og_description":"La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin CMB2 para WordPress en todas las versiones hasta, e incluyendo, la 2.10.1, a trav\u00e9s de la deserializaci\u00f3n de datos no confiables del campo text_datetime_timestamp_timezone. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. No hay una cadena POP presente […]","og_url":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-04-03T15:45:18+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/","url":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/","name":"CMB2 <= 2.10.1 - Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+) - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-04-03T15:45:18+00:00","dateModified":"2024-04-03T15:45:18+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/cmb2-2-10-1-inyeccion-de-objetos-php-autenticada-contribuidor\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"CMB2 <= 2.10.1 – Inyecci\u00f3n de Objetos PHP autenticada (Contribuidor+)"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3424"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3424"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3424\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3424"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}