HUSKY – Products Filter Professional for WooCommerce <= 1.3.5.2 - Authenticated (Admin+) Local File Inclusion en Woocommerce Products Filter - version 1.3.5.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin HUSKY – Products Filter Professional para WooCommerce, que permite la inclusión de archivos locales. Esta falla afecta a las versiones hasta la 1.3.5.2 y puede ser explotada por administradores autenticados.

Contexto técnico

La vulnerabilidad se clasifica como una inclusión de archivos locales (LFI) que puede ser aprovechada para ejecutar código malicioso en el servidor. La superficie de ataque se limita a usuarios con privilegios de administrador, lo que significa que solo aquellos con acceso a la administración del sitio pueden desencadenar el fallo.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la ejecución remota de código, comprometiendo la integridad y confidencialidad de los datos del sitio. Esto podría llevar a la pérdida de información sensible y a un daño reputacional significativo para el negocio afectado.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través de la interfaz de administración, lo que les permite acceder a archivos del sistema y ejecutar código malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin HUSKY – Products Filter Professional a la versión 1.3.5.3 o superior. Además, se deben revisar los permisos de acceso a la administración y aplicar prácticas de hardening en la configuración del servidor.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales en la administración del plugin y la aparición de archivos no autorizados en el sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.3.5.3 del plugin HUSKY – Products Filter Professional para WooCommerce.