Los investigadores han revelado una inclusi\u00f3n de archivo local previamente no documentada (LFI<\/a>) vulnerabilidad en Hashnodo<\/a>una plataforma de blogs orientada a desarrolladores, de la que se podr\u00eda abusar para acceder a datos confidenciales, como claves SSH, la direcci\u00f3n IP del servidor y otra informaci\u00f3n de la red.<\/p>\n “La LFI se origina en un Funci\u00f3n de importaci\u00f3n masiva de rebajas<\/a> que se pueden manipular para proporcionar a los atacantes la capacidad sin trabas de descargar archivos locales del servidor de Hashnode”, dijeron los investigadores de Akamai en un reporte<\/a> compartido con The Hacker News.<\/p>\n Las fallas de inclusi\u00f3n de archivos locales ocurren cuando se enga\u00f1a a una aplicaci\u00f3n web para que exponga o ejecute archivos no aprobados en un servidor, lo que provoca el cruce de directorios, la divulgaci\u00f3n de informaci\u00f3n, la ejecuci\u00f3n remota de c\u00f3digo y ataques de secuencias de comandos entre sitios (XSS).<\/p>\n La falla, causada debido a que la aplicaci\u00f3n web no desinfect\u00f3 adecuadamente la ruta a un archivo que se pasa como entrada, podr\u00eda tener serias repercusiones en el sentido de que un atacante podr\u00eda navegar a cualquier ruta en el servidor y acceder a informaci\u00f3n confidencial, incluida la archivo \/etc\/contrase\u00f1a<\/a> que contiene una lista de usuarios en el servidor.<\/p>\n Armados con este exploit, los investigadores dijeron que pudieron identificar la direcci\u00f3n IP y el shell seguro privado (SSH<\/a>) clave asociada con el servidor.<\/p>\n Si bien la vulnerabilidad se ha abordado desde entonces, los hallazgos se producen cuando Akamai dijo que registr\u00f3 m\u00e1s de cinco mil millones de ataques LFI entre el 1 de septiembre de 2021 y el 28 de febrero de 2022, lo que marca un aumento del 141 % con respecto a seis meses anteriores<\/a>.<\/p>\n “Los ataques LFI son un vector de ataque que podr\u00eda causar un da\u00f1o importante a una organizaci\u00f3n, ya que un actor de amenazas podr\u00eda obtener informaci\u00f3n sobre la red para un reconocimiento futuro”, dijeron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Error-de-pirateria-de-correo-electronico-sin-parches-de-9.png\")
<\/a><\/div>\n![\"Plataforma](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1649771879_377_Vulnerabilidad-critica-de-LFI-informada-en-la-plataforma-de-blogs.jpg\" "\\"Plataforma")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n