El 24 de junio de 2024, el equipo de WP Scan informó sobre una vulnerabilidad crítica encontrada en el popular plugin de WordPress SEOPress. Durante una auditoría rutinaria de varios plugins de WordPress, se identificaron algunos problemas en SEOPress, un plugin con más de 300,000 instalaciones activas. Específicamente, se descubrió un error de autenticación que permitía a los atacantes acceder a ciertas rutas protegidas de la API REST sin necesidad de tener una cuenta en el sitio objetivo.
Al profundizar en las posibles acciones que un atacante podría llevar a cabo con este nivel de acceso, se identificó otro problema en la forma en que el plugin guarda y recupera metadatos de publicaciones desde sus tablas de base de datos personalizadas. Este fallo permitía a los actores maliciosos deserializar objetos arbitrarios y realizar ataques de inyección de objetos.
Las vulnerabilidades de inyección de objetos permiten a los atacantes crear cadenas de programación orientada a propiedades (conocidas como cadenas POP). Estas cadenas consisten en instancias de clases serializadas bajo el control del atacante, destinadas a ser activadas en diferentes puntos durante la ejecución, a menudo mediante métodos mágicos de PHP. Como se ha demostrado en el pasado, ciertas cadenas POP pueden llevar a una ejecución remota de código completa.
Esta vulnerabilidad fue corregida el 18 de junio con la versión 7.9 de SEOPress.
Para todos aquellos que utilizan SEOPress, es fundamental actualizar a la última versión para asegurar que sus sitios web no estén expuestos a estas vulnerabilidades críticas. Además, siempre se recomienda realizar auditorías de seguridad periódicas y mantener todos los plugins y temas de WordPress actualizados a sus versiones más recientes para protegerse contra posibles amenazas.
