File Away <= 3.9.9.0.1 - Missing Authorization to Unauthenticated Arbitrary File Read

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin File Away, que permite la lectura arbitraria de archivos sin autorización previa. Esta falla afecta a las versiones hasta la 3.9.9.0.1, con un CVSS de 7.5, lo que la clasifica como de alta severidad.

Contexto técnico

La vulnerabilidad se origina en un fallo de autorización que permite a usuarios no autenticados acceder a archivos en el servidor. Esto puede ser explotado a través de solicitudes HTTP maliciosas que no requieren credenciales válidas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes acceder a información sensible almacenada en el servidor, lo que podría comprometer la seguridad de datos y la integridad del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando peticiones específicas a la URL del plugin, lo que les permite acceder a archivos sin necesidad de autenticación.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin File Away a la versión 3.9.9.0.1 o superior. Además, se sugiere revisar los permisos de acceso a los archivos y aplicar medidas de seguridad adicionales en la configuración del servidor.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a archivos sensibles en el servidor y logs de acceso que muestran peticiones sin autenticación a rutas del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.9.0.1 del plugin File Away. Se recomienda a los administradores de WordPress revisar sus instalaciones.