JS Job Manager <= 2.0.2 - Authenticated (Contributor+) Local File Inclusion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin JS Job Manager hasta la versión 2.0.2, la cual permite a usuarios autenticados con rol de contribuyente o superior acceder a archivos del sistema. Esta vulnerabilidad tiene una severidad alta, con un puntaje CVSS de 8.8.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las solicitudes de archivos, permitiendo a un atacante que tenga acceso como contribuyente o superior incluir archivos locales en el servidor. Esto puede llevar a la exposición de información sensible o a la ejecución de código malicioso.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a archivos del sistema que podrían contener información sensible, comprometiendo así la seguridad del sitio y la privacidad de los datos de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas que incluyen rutas de archivos locales, lo que les permite acceder a información sensible almacenada en el servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin JS Job Manager a la versión 2.0.2 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas del sistema.

Señales de detección

Las señales de riesgo pueden incluir intentos de acceso a archivos del sistema a través de logs de acceso, así como comportamientos inusuales en las solicitudes HTTP que intentan acceder a rutas de archivos locales.

Alcance afectado

Las versiones del plugin JS Job Manager hasta la 2.0.2 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas a la versión corregida.