Broadcast Live Video – Live Streaming : HTML5, WebRTC, HLS, RTSP, RTMP < 4.29.5 - Arbitrary File Read/Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Broadcast Live Video – Live Streaming' para WordPress, que permite la lectura y eliminación arbitraria de archivos. Esta falla afecta a las versiones anteriores a la 4.29.5 y tiene un CVSS de 9.8, lo que indica su alta gravedad.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona las solicitudes de archivos, permitiendo a un atacante acceder a archivos del servidor de manera no autorizada. Esto puede incluir archivos sensibles que podrían comprometer la seguridad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante potencialmente acceder a información confidencial o eliminar archivos críticos del sistema, lo que podría llevar a la interrupción del servicio y a la pérdida de datos.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas al servidor que permiten la lectura o eliminación de archivos. Esto puede hacerse a través de formularios o URLs específicas que el plugin no valida correctamente.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.29.5 o superior. Además, se deben revisar los permisos de archivos en el servidor y aplicar medidas de seguridad adicionales como un firewall de aplicaciones web.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales, intentos de acceso a archivos que no deberían ser accesibles, y alertas de seguridad generadas por herramientas de monitoreo.

Alcance afectado

Las versiones del plugin anteriores a la 4.29.5 están afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión y realicen la actualización correspondiente.