Extensive VC Addons for WPBakery page builder <= 1.9.1 - Unauthenticated Local File Inclusion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales no autenticada en el plugin 'Extensive VC Addons' para WPBakery Page Builder, afectando a versiones hasta la 1.9.1. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 8.1.

Contexto técnico

La vulnerabilidad permite a un atacante no autenticado acceder a archivos locales del servidor a través de una solicitud maliciosa, lo que puede llevar a la divulgación de información sensible o la ejecución de código malicioso.

Impacto potencial

El impacto en las organizaciones puede ser significativo, incluyendo la exposición de datos sensibles y la posibilidad de comprometer el servidor. Esto podría resultar en daños a la reputación y pérdidas financieras.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a las rutas del plugin, lo que les permite incluir archivos del sistema de archivos del servidor.

Mitigación recomendada

Actualizar el plugin 'Extensive VC Addons' a la versión 1.9.1 o superior. Además, se recomienda revisar y restringir los permisos de archivos y directorios en el servidor para mitigar riesgos adicionales.

Señales de detección

Señales de explotación pueden incluir solicitudes HTTP inusuales que intentan acceder a archivos del sistema, así como logs de errores que indican intentos de inclusión de archivos.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones del plugin 'Extensive VC Addons' para WPBakery Page Builder en versiones anteriores a la 1.9.1.