3D Product configurator for WooCommerce 1.5.4 subida de ficheros

En ocasiones nos podemos encontrar plugins que se utilizan muy poco, como 3D Product configurator for WooCommerce, y puede ser debido a que ese plugin forma parte de un servicio de suscripción de un sitio web.

Y la alerta que nos tiene que quedar es que debemos asegurarnos bien de qué plugins instalamos, principalmente cuando hablamos de un comercio electrónico. En este caso, este plugin permite subir imágenes para que se acaben generando modelos 3D para los usuarios.

El problema de este plugin es que, con un poco de mala idea, se podría llegar a subir cualquier tipo de fichero de forma maliciosa y ejecutarlo de forma remota. El análisis realizado plantea que se puede subir cualquier fichero, guardarlo, y posteriormente mirar si es una imagen con la función de PHP getimagesize(), y con la respuesta determinarlo. El asunto es que esta función no tiene en cuenta que determinados ficheros son accesibles y legibles, por ejemplo los GIF (que tienen una cabecera muy simple).

También hay que recordar que desde WordPress 5.0.1 se recomiendan algunas actuaciones cuando se realiza tratamiento de ficheros y su relación con los MIME.

Deja un comentario