Resumen ejecutivo
La vulnerabilidad identificada en el plugin Shared Files, en versiones hasta la 1.7.19, se debe a una falta de autorización que puede ser explotada. Esta falla tiene una severidad media y fue publicada el 7 de mayo de 2024.
Fuente base de datos: Wordfence Intelligence
Shared Files <= 1.7.19 - Missing Authorization (falta de autorizacion) - version 1.7.20
PLUGIN
MEDIUM
CVE-2024-34438
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se origina en la ausencia de controles de autorización adecuados en el plugin Shared Files, lo que permite a usuarios no autorizados acceder a recursos restringidos. Esto amplía la superficie de ataque, especialmente en entornos donde el plugin es utilizado por múltiples usuarios.
Impacto potencial
La explotación de esta vulnerabilidad puede permitir a un atacante acceder a archivos sensibles, comprometiendo la integridad y confidencialidad de la información. Esto puede resultar en pérdidas económicas y daños a la reputación de la organización afectada.
Vector de explotación
Generalmente, la explotación se realiza mediante el envío de solicitudes maliciosas al plugin que eluden los controles de acceso, permitiendo la descarga o visualización de archivos que deberían estar protegidos.
Mitigación recomendada
Actualizar el plugin Shared Files a la versión 1.7.20 o superior para corregir la falta de autorización. Además, se recomienda revisar los permisos de usuario y aplicar políticas de acceso más estrictas.
Señales de detección
Señales de posible explotación incluyen accesos inusuales a archivos sensibles y registros de errores que indiquen intentos de acceso no autorizado a través del plugin.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 1.7.20 del plugin Shared Files.
Vulnerabilidades relacionadas
HIGH
PLUGIN
shared-files
Shared Files <= 1.7.48 - Unauthenticated Stored Cross-Site Scripting via sanitize_file Function
HIGH
PLUGIN
shared-files
Shared Files – Frontend File Upload Form & Secure File Sharing <= 1.7.42 - Limited Unauthenticated Stored Cross-Site Scripting via File Upload
MEDIUM
PLUGIN
shared-files
Shared Files <= 1.7.28 - Unauthenticated Sensitive Information Exposure
MEDIUM
PLUGIN
shared-files
Shared Files <= 1.7.16 - Missing Authorization to Notice Dismissal
HIGH
PLUGIN
shared-files
Shared Files <= 1.7.5 - Unauthenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
shared-files
Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get
MEDIUM
PLUGIN
shared-files
Freemius SDK <= 2.4.2 - Missing Authorization Checks
MEDIUM
PLUGIN
shared-files
Shared Files – Easy Download Manager and File Sharing Plugin with Frontend File Upload <= 1.6.60 - Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto