Bit File Manager – 100% free file manager for WordPress <= 5.2.2 - Subscriber+ Arbitrary File Creation/Upload/Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Bit File Manager para WordPress, que permite a usuarios suscriptores crear, subir y eliminar archivos de manera arbitraria. Esta falla afecta a las versiones hasta la 5.2.2 y tiene un alto nivel de gravedad con un CVSS de 8.8.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de los permisos de usuario en el plugin, lo que permite a los usuarios con privilegios limitados realizar acciones no autorizadas en el sistema de archivos del servidor.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que un atacante podría comprometer la integridad del sitio web, cargar archivos maliciosos y, en última instancia, tomar control del servidor, lo que podría derivar en pérdida de datos y daños a la reputación de la empresa.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante la manipulación de las funciones del plugin que permiten la gestión de archivos, aprovechando la falta de controles de acceso adecuados para usuarios con roles limitados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 5.2.3 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de seguridad adecuadas en la gestión de archivos.

Señales de detección

Las señales de riesgo incluyen intentos inusuales de creación o eliminación de archivos por parte de usuarios con privilegios bajos, así como la presencia de archivos sospechosos en el directorio de archivos del sitio.

Alcance afectado

Las versiones del plugin Bit File Manager hasta la 5.2.2 son las afectadas. Las instalaciones que no han actualizado a la versión 5.2.3 están en riesgo.