Ai Engine <= 2.9.5 - Missing Authorization to Unauthenticated Uploaded Files Disclosure And Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Ai Engine, que permite la divulgación y eliminación de archivos subidos por usuarios no autenticados. Esta vulnerabilidad afecta a las versiones hasta la 2.9.5 del plugin.

Contexto técnico

El fallo se origina en la falta de control de acceso adecuado para la gestión de archivos subidos, lo que permite a usuarios no autenticados acceder a funcionalidades restringidas. Esto expone el sistema a riesgos de manipulación de archivos y acceso no autorizado a datos sensibles.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la divulgación no autorizada de información y la eliminación de archivos críticos, afectando la integridad y disponibilidad de los datos del negocio. Esto puede conllevar a pérdidas económicas y daños a la reputación.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas para acceder a archivos subidos o eliminarlos sin necesidad de autenticación previa, lo que facilita la explotación.

Mitigación recomendada

Actualizar el plugin Ai Engine a la versión 2.9.6 o superior para mitigar la vulnerabilidad. Además, revisar las configuraciones de permisos de archivos y aplicar políticas de acceso más estrictas.

Señales de detección

Monitorear registros de acceso en busca de intentos inusuales de carga o eliminación de archivos por parte de usuarios no autenticados. Alertas sobre cambios en archivos críticos también pueden indicar explotación.

Alcance afectado

Las versiones del plugin Ai Engine hasta la 2.9.5 son susceptibles a esta vulnerabilidad. Es recomendable verificar todas las instalaciones que utilicen este plugin.