Icons Font Loader <= 1.1.2 - Authenticated (Administrator+) Arbitrary File Upload

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Icons Font Loader, que permite la carga arbitraria de archivos por parte de administradores. Esta vulnerabilidad, clasificada con un CVSS de 7.2, afecta a las versiones hasta la 1.1.2 y ha sido corregida en la versión 1.1.3.

Contexto técnico

El fallo se origina en la capacidad de los administradores para cargar archivos sin restricciones adecuadas, lo que puede permitir que un atacante suba archivos maliciosos al servidor. La superficie de ataque se centra en el acceso que tienen los administradores al panel de control del plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la ejecución de código arbitrario en el servidor, comprometiendo la integridad y disponibilidad del sitio web. Esto puede resultar en pérdidas económicas y daño a la reputación de la organización afectada.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al panel de administración y utilizando las funciones de carga de archivos del plugin para subir archivos maliciosos que pueden ser ejecutados posteriormente.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Icons Font Loader a la versión 1.1.3 o superior. Además, se deben revisar los permisos de los usuarios administradores y considerar la implementación de medidas de seguridad adicionales, como la restricción de tipos de archivos permitidos.

Señales de detección

Señales de riesgo incluyen intentos inusuales de carga de archivos en el servidor, así como la presencia de archivos no autorizados en directorios críticos. Monitorizar los logs de acceso puede ayudar a identificar actividades sospechosas.

Alcance afectado

Las versiones del plugin Icons Font Loader hasta la 1.1.2 están afectadas. Es crucial que todos los sitios que utilicen este plugin realicen la actualización correspondiente.