Concrete5 es un CMS (Content Management System) o sistema de gestión de contenidos de código abierto que permite la creación y edición de contenidos de un sitio web directamente sobre las páginas que los alberga, sin necesidad de acceder a una interfaz de administración separada.
Allowed File Types, es una característica de concrete5 que especifica la lista de extensiones de archivos permitidas. Es decir, limita los tipos de archivos que los miembros pueden cargar al administrador de archivos.
¿Qué pasó?
Fue descubierta recientemente una vulnerabilidad que afecta a Concrete5 en versiones 8.0 hasta la 8.5.2, la misma ha sido identificada y catalogada con el CVE-2020-24986 de riesgo medio. Este fallo podría permitir a un atacante ejecutar código remoto mediante la carga de archivos .php arbitrarios.
Las versiones afectadas por esta vulnerabilidad son: 8.0, 8.0.1, 8.0.2, 8.0.3, 8.1.0, 8.2.0, 8.2.1, 8.3.0, 8.3.1, 8.3.2, 8.4.0, 8.4.1, 8.4.2, 8.4.4, 8.4.5, 8.5.0, 8.5.1 y 8.5.2
El fallo concretamente reside en el componente “Allowed File Types”, y se da debido a que la aplicación permite que usuarios administradores modifiquen la lista de extensiones permitidas para la carga de archivos, agregando la extensión de archivos .php al servidor, a través del administrador de archivos. Esto podría permitir a un atacante remoto subir y ejecutar archivos maliciosos con la extensión php y así obtener una shell remota mediante la carga de un archivo especialmente diseñado, permitiendo la ejecución de comandos arbitrarios sin privilegios adicionales en el sistema afectado.
Recomendaciones:
- Aplicar el parche de seguridad para Concrete5, disponible en la versión 8.5.3.
- Agregar los archivos con extensión .php a la lista negra para prevenir la carga de los mismos.
- Configurar el servidor web para que no ejecute ningún archivo subido en su ubicación de almacenamiento.
- Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP con contenido malicioso.
Referencias: