Sam Thomas, a security researcher from Secarma, has
descubierto una nueva técnica de exploit que podría facilitar a los piratas
informáticos desencadenar vulnerabilidades críticas de deserialización en el
lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.

La nueva técnica deja cientos de miles de aplicaciones web
abiertas para ataques remotos de ejecución de código, incluidos sitios web
impulsados ​​por algunos sistemas populares de administración de contenido como
WordPress y Typo3.

Las vulnerabilidades de serialización PHP o inyección de
objetos se documentaron inicialmente en 2009, lo que podría permitir a un
atacante realizar diferentes tipos de ataques mediante el suministro de
entradas maliciosas a la función PHP unserialize ().

Si no lo sabe, la serialización es el proceso de conversión
de objetos de datos en una cadena simple, y el programa de ayuda de la función
de desinstalación vuelve a crear un objeto a partir de una cadena.

Thomas descubrió que un atacante puede usar funciones de
low risk against Phar files to trigger deserialization attacks
without requiring the use of the unserialize function () in a wide range of
scenarios.

Thomas informó esta vulnerabilidad al equipo de seguridad de
WordPress a principios del año pasado, y la compañía reconoció el problema. Sin
embargo, el parche lanzado por la compañía no resolvió el problema por
completo.


Leave a Reply

Your email address will not be published. Required fields are marked *

More news
A
Read more »
A researcher manages to hack some concert tickets using AI
Read more »
Una nueva campaña de phishing suplanta a ChatGPT
Read more »
Nintendo suffers a data breach through a supplier
Read more »
Trying to make fun of a scammer is not a very good idea
Read more »