{"id":3670,"date":"2024-04-29T18:46:18","date_gmt":"2024-04-29T18:46:18","guid":{"rendered":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/"},"modified":"2024-04-29T18:46:18","modified_gmt":"2024-04-29T18:46:18","slug":"inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/","title":{"rendered":"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1"},"content":{"rendered":"
La vulnerabilidad de PHP Object Injection en el plugin Photo Gallery – Responsive Photo Gallery, Image Gallery, Portfolio Gallery, Logo Gallery And Team Gallery para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.4.1 a trav\u00e9s de la deserializaci\u00f3n de datos no confiables mediante el shortcode de la entrada ‘awl_lg_settings_’. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar un Objeto PHP. No existe una cadena POP presente en el plugin vulnerable. Si una cadena POP est\u00e1 presente a trav\u00e9s de un plugin o tema adicional instalado en el sistema objetivo, podr\u00eda permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar c\u00f3digo.<\/div>\n

<\/p>\n

Es crucial que los usuarios actualicen el plugin Photo Gallery a la \u00faltima versi\u00f3n disponible para mitigar esta vulnerabilidad. Adem\u00e1s, se recomienda no confiar en datos no confiables, como los provenientes del shortcode ‘awl_lg_settings_’. Se deben revisar regularmente los permisos de los usuarios para limitar el acceso a contribuidores y roles superiores solo a personas de confianza. Adem\u00e1s, se pueden implementar medidas adicionales de seguridad, como firewalls de aplicaciones web, para detectar y prevenir posibles ataques.<\/div>\n
La inyecci\u00f3n de Objetos PHP es una vulnerabilidad seria que puede ser aprovechada por atacantes autenticados para causar da\u00f1o en un sitio WordPress. Al tomar medidas preventivas, como mantener actualizados los plugins y tener cuidado con los datos no confiables, los usuarios pueden reducir significativamente el riesgo de explotaci\u00f3n de esta vulnerabilidad en Photo Gallery <= 1.4.1.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad de PHP Object Injection en el plugin Photo Gallery – Responsive Photo Gallery, Image Gallery, Portfolio Gallery, Logo Gallery And Team Gallery para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.4.1 a trav\u00e9s de la deserializaci\u00f3n de datos no confiables mediante el shortcode de la entrada ‘awl_lg_settings_’. Esto permite a […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1380],"class_list":["post-3670","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1896"],"yoast_head":"\nInyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad de PHP Object Injection en el plugin Photo Gallery – Responsive Photo Gallery, Image Gallery, Portfolio Gallery, Logo Gallery And Team Gallery para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.4.1 a trav\u00e9s de la deserializaci\u00f3n de datos no confiables mediante el shortcode de la entrada ‘awl_lg_settings_’. Esto permite a […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-29T18:46:18+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/\",\"url\":\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/\",\"name\":\"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-04-29T18:46:18+00:00\",\"dateModified\":\"2024-04-29T18:46:18+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/","og_locale":"en_US","og_type":"article","og_title":"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es","og_description":"La vulnerabilidad de PHP Object Injection en el plugin Photo Gallery – Responsive Photo Gallery, Image Gallery, Portfolio Gallery, Logo Gallery And Team Gallery para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.4.1 a trav\u00e9s de la deserializaci\u00f3n de datos no confiables mediante el shortcode de la entrada ‘awl_lg_settings_’. Esto permite a […]","og_url":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-04-29T18:46:18+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/","url":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/","name":"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1 - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-04-29T18:46:18+00:00","dateModified":"2024-04-29T18:46:18+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/inyeccion-de-objetos-php-autenticadacontribuidor-a-traves-de-shortcode-en-photo-gallery-1-4-1\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Inyecci\u00f3n de Objetos PHP Autenticada(Contribuidor+) a trav\u00e9s de Shortcode en Photo Gallery <= 1.4.1"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3670"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3670"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3670\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3670"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}