Awesome Support – WordPress HelpDesk & Support Plugin <= 6.3.1 - Unauthenticated Sensitive Information Exposure Through Unprotected Directory

Resumen ejecutivo

La vulnerabilidad CVE-2024-13567 afecta al plugin Awesome Support para WordPress, permitiendo la exposición no autenticada de información sensible a través de un directorio desprotegido. Esta falla tiene una severidad alta, con un CVSS de 7.5.

Contexto técnico

El fallo se origina en una falta de protección adecuada en un directorio del plugin Awesome Support, lo que permite a un atacante acceder a información sensible sin necesidad de autenticación previa. Esto amplía la superficie de ataque, facilitando el acceso no autorizado a datos críticos.

Impacto potencial

La exposición de información sensible puede comprometer la privacidad de los usuarios y la integridad del negocio, generando pérdidas económicas y daños a la reputación. La falta de protección puede ser utilizada para llevar a cabo ataques más sofisticados.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo directamente al directorio desprotegido del plugin, lo que les permite obtener información sensible sin necesidad de credenciales.

Mitigación recomendada

Actualizar el plugin Awesome Support a la versión 6.3.2 o superior para cerrar la vulnerabilidad. Además, se recomienda revisar la configuración de permisos del servidor y aplicar medidas de seguridad adicionales para proteger los directorios sensibles.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a directorios del plugin y patrones de tráfico inusuales que intentan acceder a información sensible. Monitorizar los registros de acceso puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin Awesome Support hasta la 6.3.1 son vulnerables. Las instalaciones que no han sido actualizadas a la versión 6.3.2 o superior están en riesgo.