WordPress File Upload <= 4.24.13 - Unauthenticated Path Traversal to Arbitrary File Read in wfu_file_downloader.php

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Local File Inclusion (LFI) en el plugin WordPress File Upload, que permite la lectura no autenticada de archivos arbitrarios. Esta falla afecta a las versiones hasta la 4.24.13 y tiene una severidad alta con un CVSS de 7.5.

Contexto técnico

La vulnerabilidad se encuentra en el archivo wfu_file_downloader.php del plugin, donde una falta de validación adecuada de las rutas de archivos permite a un atacante acceder a archivos del sistema de forma no autorizada. Esto expone la superficie de ataque a posibles lecturas de información sensible.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles del servidor, lo que podría comprometer la seguridad del sitio y la privacidad de los usuarios. Además, podría afectar la reputación de la empresa y dar lugar a responsabilidades legales.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la manipulación de parámetros en las solicitudes HTTP, permitiendo a un atacante especificar rutas de archivos que pueden ser leídas sin autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.24.14 o superior. Además, se sugiere revisar las configuraciones de seguridad del servidor y aplicar controles de acceso adecuados a los archivos críticos.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a archivos del sistema a través de logs de acceso, así como patrones de solicitud que intentan acceder a rutas de archivos no habituales.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.24.14 del plugin WordPress File Upload.