School Management <= 93.0.0 - Authenticated (Student+) Local File Inclusion (inclusion local de archivos (LFI))

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin School Management, que afecta a versiones anteriores a la 93.0.0. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 8.8, lo que puede comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se produce debido a la falta de validación adecuada de las entradas del usuario, permitiendo a usuarios autenticados (estudiantes) acceder a archivos del sistema local del servidor. Esto puede dar lugar a la exposición de información sensible y ejecución de código no autorizado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante potencial acceder a archivos críticos del sistema, lo que podría llevar a la divulgación de datos sensibles y afectar la integridad y disponibilidad del servicio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a través de la interfaz del plugin, lo que les permite incluir archivos locales y obtener acceso no autorizado a información crítica del servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin School Management a la versión 93.0.0 o superior. Además, es aconsejable implementar controles adicionales de validación de entradas y restringir el acceso a áreas críticas del servidor.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales, intentos de acceso a archivos del sistema y alertas de seguridad relacionadas con el plugin School Management.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 93.0.0 del plugin School Management. Se recomienda a los administradores de sitios que verifiquen la versión instalada y realicen las actualizaciones necesarias.