Se han identificado tres vulnerabilidades críticas en el paquete de código abierto PHP Voyager que podrían ser utilizadas para ejecutar código remoto en servidores afectados con un solo clic por parte de un usuario autenticado. Estas fallas, reportadas inicialmente el 11 de septiembre de 2024, aún no han sido parcheadas, lo que representa un alto riesgo para las instancias que utilizan este software.
Vulnerabilidades identificadas:
- CVE-2024-55417: Escritura arbitraria de archivos en el endpoint
/admin/media/upload. - CVE-2024-55416: Vulnerabilidad XSS reflejada en el endpoint
/admin/compass. - CVE-2024-55415: Fuga y eliminación arbitraria de archivos en el sistema de administración de archivos.
Un atacante puede utilizar la funcionalidad de carga de medios para subir archivos maliciosos que contengan código PHP ejecutable, explotando la falta de verificación del tipo MIME. Este archivo puede procesarse como un script PHP, lo que permite la ejecución remota de código.
Además, CVE-2024-55416 puede ser encadenada con otras vulnerabilidades para realizar ataques críticos. Por ejemplo, si un usuario autenticado hace clic en un enlace malicioso, un atacante podría ejecutar acciones arbitrarias en el servidor o extraer información confidencial.
Conclusión y recomendaciones:
En ausencia de parches para estas vulnerabilidades, se recomienda a los usuarios de PHP Voyager:
- Evitar usar Voyager en entornos de producción.
- Implementar restricciones estrictas de acceso y revisar permisos de usuarios autenticados.
- Configurar firewalls de aplicaciones web (WAF) para bloquear solicitudes maliciosas.
Estas fallas resaltan la importancia de mantener actualizado el software y de realizar auditorías regulares de seguridad en los proyectos utilizados.
