ISGroup Consultoría de Ciberseguridad

CVE-2025-28367: Directory Traversal en la API Image Handler de mojoPortal

Se ha identificado una vulnerabilidad de gravedad media en mojoPortal, una plataforma CMS de código abierto ampliamente utilizada por sitios web de instituciones educativas, gubernamentales y pequeñas empresas. Esta falla permite a atacantes no autenticados acceder a archivos confidenciales a través de una API heredada para la gestión de imágenes. El objetivo de esta divulgación es resaltar los riesgos asociados con modelos de acceso a archivos inseguros y subrayar la importancia de la validación de la entrada del usuario, especialmente en código obsoleto que aún permanece expuesto en línea.

ProductomojoPortal
Fecha2025-04-22 12:26:11
Información
  • Tendencia

Resumen técnico

La vulnerabilidad está presente en las versiones de mojoPortal ≤ 2.9.0.1, específicamente en el endpoint /api/BetterImageGallery/imagehandler. Este controlador no sanitiza correctamente el parámetro path, lo que permite ataques de recorrido de directorio (directory traversal) que exponen archivos de configuración internos.

Puntos técnicos principales:

  • Acceso a archivos sin autenticación: El controlador acepta rutas de archivos desde la entrada del usuario sin limitar el recorrido fuera del directorio de imágenes previsto.
  • Acceso a Web.Config: Un atacante puede solicitar ../../../Web.Config, obteniendo secretos confidenciales de la aplicación, como claves de cifrado y credenciales de la base de datos.
  • Endpoint heredado: El endpoint vulnerable es parte de un módulo antiguo de gestión de imágenes, el cual podría no estar recibiendo mantenimiento activo en muchas instalaciones.

Recomendaciones

Parche (pendiente de lanzamiento oficial)

  • Monitorear el repositorio GitHub de mojoPortal para obtener parches oficiales o notas de lanzamiento relacionadas con este problema.
  • Eliminar temporalmente o limitar el acceso a la API BetterImageGallery si no se encuentra en uso activo.

Mitigación temporal

  • Implementar middleware o filtros en el proxy inverso para bloquear patrones ../ en las URLs.
  • Limitar el acceso a los archivos .config a nivel de servidor web (IIS o Apache).

[Callforaction-THREAT-Footer]

In