Paid Videochat Turnkey Site – HTML5 PPV Live Webcams <= 7.2.16 - Unauthenticated Arbitrary File Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Paid Videochat Turnkey Site – HTML5 PPV Live Webcams' que permite la eliminación arbitraria de archivos sin autenticación. Esta falla afecta a las versiones hasta la 7.2.16 y tiene un CVSS de 9.1.

Contexto técnico

La vulnerabilidad se clasifica como un bypass de autenticación, lo que permite a un atacante eliminar archivos arbitrarios en el servidor sin necesidad de autenticarse. Esto se debe a una falta de validación adecuada en las solicitudes de eliminación de archivos.

Impacto potencial

El potencial impacto de esta vulnerabilidad es significativo, ya que permite a un atacante eliminar archivos críticos del servidor, lo que puede resultar en pérdida de datos, interrupción del servicio y comprometer la integridad del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a la API del plugin para eliminar archivos sin autorización. Esto puede realizarse mediante scripts automatizados o herramientas de explotación.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 7.3.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de archivos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes inusuales a la API de eliminación de archivos y cambios inesperados en el sistema de archivos del servidor.

Alcance afectado

Las versiones del plugin 'Paid Videochat Turnkey Site – HTML5 PPV Live Webcams' hasta la 7.2.16 son vulnerables. Las instalaciones que no han sido actualizadas a la versión 7.3.1 o superior están en riesgo.