Fuente base de datos: Wordfence Intelligence

File Manager <= 7.2.1 - Sensitive Information Exposure via Backup Filenames

PLUGIN HIGH CVE-2024-0761

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta severidad en el plugin WP File Manager, que permite la exposición de información sensible a través de nombres de archivo de copias de seguridad. Esta vulnerabilidad afecta a las versiones hasta la 7.2.1 y ha sido corregida en la versión 7.2.2, publicada el 22 de enero de 2024.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona los nombres de archivo de las copias de seguridad, lo que puede permitir a un atacante acceder a información sensible almacenada en el servidor. La exposición se produce debido a la falta de control adecuado sobre los archivos generados y su accesibilidad.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la información sensible de los usuarios y del sitio, lo que podría llevar a la pérdida de datos, daños a la reputación y posibles implicaciones legales. Las organizaciones que utilicen este plugin sin actualizar corren el riesgo de sufrir brechas de seguridad significativas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a los nombres de archivo de las copias de seguridad expuestas a través de una solicitud maliciosa, lo que les permite obtener información confidencial almacenada en el servidor.

Mitigación recomendada

Se recomienda actualizar el plugin WP File Manager a la versión 7.2.2 o superior. Además, se sugiere revisar la configuración de seguridad del servidor y restringir el acceso a archivos sensibles.

Señales de detección

Señales de riesgo pueden incluir accesos no autorizados a archivos de copias de seguridad y solicitudes inusuales en los logs de acceso del servidor. Monitorizar estos eventos puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin WP File Manager hasta la 7.2.1 son las que se ven afectadas por esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 7.2.2 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-file-manager

File Manager <= 7.2.7 - Missing Authorization

MEDIUM PLUGIN

wp-file-manager

File Manager <= 7.2.5 - Authenticated (Administrator+) Directory Traversal

HIGH PLUGIN

wp-file-manager

File Manager <= 7.2.4 - Cross-Site Request Forgery to Local JS File Inclusion

CRITICAL PLUGIN

wp-file-manager

File Manager And File Manager Pro (Multiple Versions) - Directory Traversal

MEDIUM PLUGIN

wp-file-manager

WP File Manager <= 7.0 - Reflected Cross-Site Scripting

CRITICAL PLUGIN

wp-file-manager

File Manager <= 6.8 - Arbitrary File Upload/Remote Code Execution

HIGH PLUGIN

wp-file-manager

WP File Manager <= 6.4 - Unauthenticated Resource Access to Site Backups

MEDIUM PLUGIN

wp-file-manager

File Manager <= 4.8 - Missing Authorization on AJAX Actions

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto