FastDup – Fastest WordPress Migration & Duplicator <= 2.7.2 - Unauthenticated Path Traversal (inclusion local de archivos (LFI)) - version 2.7.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Path Traversal en el plugin FastDup, afectando a las versiones hasta la 2.7.2. Este fallo de seguridad permite a un atacante no autenticado acceder a archivos del servidor, comprometiendo la integridad y confidencialidad de la información.

Contexto técnico

El fallo se presenta en el plugin FastDup, utilizado para la migración y duplicación de sitios WordPress. La vulnerabilidad permite a un atacante acceder a rutas del sistema de archivos sin necesidad de autenticación, exponiendo archivos sensibles.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la divulgación de información crítica, afectando la seguridad del sitio y la confianza de los usuarios. Esto puede resultar en pérdidas económicas y daño a la reputación de la empresa.

Vector de explotación

Un atacante puede explotar este fallo manipulando las solicitudes HTTP para acceder a archivos del servidor, lo que puede resultar en la exposición de datos sensibles.

Mitigación recomendada

Actualizar el plugin FastDup a la versión 2.7.3 o superior. Revisar los registros de acceso para detectar intentos de explotación. Implementar medidas de seguridad adicionales, como firewalls y restricciones de acceso a archivos críticos.

Señales de detección

Revisar los registros de acceso en busca de patrones inusuales, como intentos de acceder a rutas de archivos no autorizadas.

Alcance afectado

Las versiones del plugin FastDup hasta la 2.7.2 están afectadas. No se ha confirmado la existencia de casos en versiones posteriores.