ISGroup Consultoría de Ciberseguridad

CVE-2025-2636: Inclusión local de archivos no autenticada en el plugin InstaWP Connect (<= 0.1.0.85)

InstaWP Connect es un plugin de WordPress ampliamente utilizado, diseñado para simplificar los procesos de staging y migración de sitios web. Con más de 30,000 instalaciones activas y una calificación de 4.5 estrellas en el Directorio de Plugins de WordPress, presta servicio a una parte significativa de la comunidad de WordPress.

Se ha identificado una vulnerabilidad de seguridad crítica en las versiones hasta la 0.1.0.85 inclusive de este plugin. Este defecto permite que usuarios no autenticados —es decir, sin credenciales de acceso— obtengan potencialmente acceso no autorizado a archivos sensibles del servidor. Dicho acceso podría conducir al control total del sitio comprometido, lo que conlleva graves riesgos para la integridad del sitio y los datos de los usuarios.

Productoinstawp-connect
Fecha2025-04-29 14:11:28
Información
  • Tendencia
  • Solución disponible

Resumen técnico

La vulnerabilidad deriva de una validación insuficiente de la entrada en la gestión del parámetro instawp-database-manager. En particular, el plugin no realiza una correcta sanitización de la entrada proporcionada por el usuario, permitiendo a los atacantes realizar ataques de Inclusión Local de Archivos (LFI). Al explotar esta falla, un atacante no autenticado puede incluir y ejecutar archivos PHP arbitrarios presentes en el servidor.

Esto podría ser particularmente peligroso si el atacante logra cargar archivos maliciosos o aprovechar archivos ya existentes para ejecutar código arbitrario, lo que resultaría en potenciales:

  • Ejecución remota de código (RCE): ejecución de código arbitrario en el servidor.
  • Omisión de controles de acceso: acceso no autorizado a áreas restringidas.
  • Exfiltración de datos: acceso a información sensible almacenada en el servidor.

Recomendaciones

  1. Actualiza el plugin: Si estás utilizando una versión de InstaWP Connect igual o inferior a la 0.1.0.85, actualiza inmediatamente a la versión más reciente. Asegúrate de que la actualización resuelva esta vulnerabilidad específica.

  2. Desactiva o elimina el plugin: Si una versión actualizada aún no está disponible o si no puedes actualizar a tiempo, considera la posibilidad de desactivar o eliminar temporalmente el plugin para mitigar el riesgo.

  3. Verifica los archivos del servidor: Revisa el servidor para detectar cualquier archivo no autorizado o sospechoso, especialmente en los directorios que permiten la carga de archivos.

[Callforaction-THREAT-Footer]

In