Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Gravity Forms de WordPress, que permitiría a un atacante no autenticado realizar inyección de objetos PHP en el entorno de la aplicación y potencialmente eliminar archivos arbitrarios, obtener acceso no autorizado a información confidencial o ejecutar código.
La vulnerabilidad identificada como CVE-2023-28782, de severidad “Alta”, con una puntuación asignada de 8.3. Esta vulnerabilidad de inyección de objetos PHP se debe a una falla de validación de datos de entrada del usuario en la función maybe_unserialize del plugin Gravity Forms de WordPress. Esto permitiría a un atacante no autenticado a través de una cadena Property-Oriented Programming (POP) especialmente diseñada para el sitio web, potencialmente eliminar archivos arbitrarios, obtener acceso no autorizado a información confidencial o ejecutar código dependiendo de la cadena POP disponible.
El producto afectado es:
- Plugin Gravity Forms de WordPress, versión 2.7.3 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en la siguiente guía:
Referencias:
- https://securityonline.info/cve-2023-28782-php-object-injection-flaw-in-wordpress-gravity-forms-plugin-with-1-million-active-installations/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28782
- https://patchstack.com/database/vulnerability/gravityforms/wordpress-gravity-forms-plugin-2-7-3-unauthenticated-php-object-injection-vulnerability
- https://docs.gravityforms.com/installation/