17/08/2018
Boletín de seguridad informática
Descripción:
El investigador de seguridad de Secarma Sam Thomas ha descubierto una nueva técnica de explotación que permitiría a los hackers desencadenar vulnerabilidades críticas de deserialización en el lenguaje de programación de PHP mediante el uso de funciones. La serialización es el proceso de convertir objetos de datos en una cadena simple, la función deserialización ayuda a restaurar a su valor original un objeto a partir de una cadena. Un atacante al utilizar estas funciones en archivos Phar puede desencadenar un ataque de deserialización sin requerir el uso de la función unserialize() en una amplia gama de escenarios.
Esta técnica deja miles de aplicaciones web abierta a ataques remotos de ejecución de código, esto incluye sitios web de gestión de contenidos como WordPress. El investigador reportó esta vulnerabilidad al equipo de seguridad de WordPress a principios de año, sin embargo el parche publicado no solucionó el problema por completo.
Recursos:
- WordPress
Solución:
Hasta el momento WordPress no ha publicado solución alguna de esta vulnerabilidad.
Para mas información
https://thehackernews.com/2018/08/php-deserialization-wordpress.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
Ante cualquier duda o aclaración comunícate con el CSIRTUV a las extensiones 11505 y 11532 o al correo contactocsirt@uv.mx
