Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en phpUploader cuya explotación podría resultar en el despliegue de peligrosos escenarios de hacking.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados acorde al Common Vulnerability Scoring System (CVSS).
CVE-2022-24435: La infectada depuración de los datos proporcionados por los usuarios permitiría a los actores de amenazas remotos inyectar y ejecutar código HTML y scripts arbitrarios en el contexto de un sitio web vulnerable.
La vulnerabilidad recibió un puntaje CVSS de 5.3/10 y su explotación exitosa permitiría a los hackers maliciosos extraer información de sitios web, modificar su apariencia y desplegar ataques de phishing.
CVE-2022-23986: La desinfección insuficiente de los datos proporcionados por el usuario permitiría a los actores de amenazas remotos enviar solicitudes especialmente diseñadas a la aplicación afectada y ejecutar comandos SQL arbitrarios en la base de datos de la aplicación.
Esta vulnerabilidad recibió un puntaje CVSS de 7.9/10 y su explotación exitosa permitiría leer, modificar y eliminar las bases de datos comprometidas.
Según el reporte, las fallas residen en las versiones de phpUploader entre 0.1 – 1.2.
Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).