All-in-One Video Gallery <= 3.6.5 - Authenticated (Contributor+) Local File Inclusion via aiovg_search_form Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin All-in-One Video Gallery, afectando a versiones hasta la 3.6.5. Esta falla permite que usuarios autenticados con rol de colaborador o superior puedan acceder a archivos del sistema.

Contexto técnico

La vulnerabilidad se origina en el shortcode 'aiovg_search_form', que no valida adecuadamente las entradas del usuario, lo que permite la inclusión de archivos locales. Esto expone la superficie de ataque a usuarios autenticados, facilitando el acceso no autorizado a archivos sensibles del servidor.

Impacto potencial

El impacto puede ser significativo, ya que permite a un atacante acceder a información sensible del servidor, lo que podría comprometer la integridad y confidencialidad de los datos. Esto puede resultar en daños a la reputación y pérdidas económicas para la organización afectada.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a través del shortcode vulnerable, permitiendo la inclusión de archivos locales que pueden contener información crítica.

Mitigación recomendada

Actualizar el plugin All-in-One Video Gallery a la versión 3.7.0 o superior es esencial para mitigar esta vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del servidor.

Señales de detección

Señales de riesgo incluyen logs de acceso inusuales que intenten acceder a archivos del sistema, así como cambios no autorizados en archivos críticos del servidor.

Alcance afectado

Las versiones del plugin All-in-One Video Gallery hasta la 3.6.5 están afectadas. Es crucial verificar la versión instalada en todas las instalaciones que utilicen este plugin.