OMGF <= 4.5.11 - Authenticated (Admin+) Arbitrary Folder Deletion via Path Traversal

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de carpetas en el plugin OMGF hasta la versión 4.5.11, que puede ser explotada por usuarios autenticados con privilegios administrativos. Esta vulnerabilidad tiene un nivel de severidad medio y un CVSS de 4.9.

Contexto técnico

La vulnerabilidad se origina en una falta de validación adecuada de las rutas de archivos, lo que permite a un atacante autenticado realizar una eliminación arbitraria de carpetas mediante técnicas de Path Traversal. Esto afecta la superficie de ataque al permitir que un usuario con acceso administrativo manipule el sistema de archivos del servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos críticos y la interrupción del servicio, afectando la integridad y disponibilidad del sitio web. Además, puede comprometer la confianza de los usuarios y dañar la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través de la interfaz del plugin, lo que les permite acceder a rutas de archivos no autorizadas y ejecutar comandos de eliminación.

Mitigación recomendada

Para mitigar el riesgo, se recomienda actualizar el plugin OMGF a la versión 4.5.12 o superior. Además, es aconsejable revisar y limitar los privilegios de los usuarios administrativos y aplicar buenas prácticas de seguridad en la gestión de plugins.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales que intentan acceder a rutas de archivos sensibles o solicitudes de eliminación de carpetas que no corresponden a las operaciones normales del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.5.12 del plugin OMGF, que está disponible en el repositorio de WordPress.