OMGF <= 4.5.3 - Unauthenticated Path Traversal in REST API

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin OMGF, que permite la ejecución de un ataque de recorrido de ruta no autenticado a través de la API REST. Esta falla afecta a las versiones hasta la 4.5.3, con un CVSS de 9.1, lo que la convierte en una amenaza significativa para la seguridad de los sitios web que utilizan este plugin.

Contexto técnico

La vulnerabilidad se manifiesta como un recorrido de ruta local (LFI) en la API REST del plugin OMGF. Esto permite a un atacante acceder a archivos del sistema que no deberían ser accesibles, afectando la integridad y confidencialidad de la información del servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la divulgación de información sensible y comprometer la seguridad del servidor. Esto puede derivar en un acceso no autorizado a datos críticos, lo que podría tener repercusiones graves para la reputación y la operativa del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la API REST del plugin, aprovechando la falta de autenticación para acceder a archivos del sistema.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin OMGF a la versión 4.5.4 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la restricción de acceso a la API REST y la monitorización de logs para detectar actividades sospechosas.

Señales de detección

Se deben vigilar los registros de acceso y errores en busca de patrones inusuales que indiquen intentos de explotación, como solicitudes a rutas de archivos sensibles o accesos no autorizados a la API REST.

Alcance afectado

Las versiones del plugin OMGF hasta la 4.5.3 están afectadas por esta vulnerabilidad. Los sitios que utilicen estas versiones deben ser considerados en riesgo hasta que se aplique la actualización correspondiente.