Plataforma
php
Componente
amazing-little-poll
Corregido en
1.3.1
1.4.1
Se ha identificado una vulnerabilidad de bypass de autenticación en el plugin Amazing Little Poll, afectando a las versiones 1.3 y 1.4. Esta falla permite a usuarios no autenticados acceder al panel de administración del plugin sin necesidad de proporcionar credenciales, comprometiendo la seguridad de la aplicación. La vulnerabilidad se explota mediante la manipulación del parámetro "lp_admin.php?adminstep=". La versión 1.4.1 ya ha sido publicada para solucionar este problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener acceso completo al panel de administración de Amazing Little Poll sin necesidad de credenciales válidas. Esto significa que pueden modificar la configuración del plugin, acceder a datos sensibles almacenados en la base de datos, instalar código malicioso o incluso tomar el control total del sitio web donde está instalado el plugin. El impacto es crítico, ya que un atacante puede comprometer la integridad y confidencialidad de la información, así como la disponibilidad del sitio web. La falta de autenticación abre la puerta a una amplia gama de ataques, incluyendo la modificación de encuestas, la inyección de código malicioso y el robo de datos de usuarios.
Esta vulnerabilidad ha sido publicada públicamente el 20 de diciembre de 2023. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de su explotación activa en campañas conocidas. La disponibilidad de un proof-of-concept público aumenta el riesgo de explotación, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Websites and applications utilizing the Amazing Little Poll plugin, particularly those running versions 1.3 and 1.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often lack granular control over individual plugin configurations. Sites with weak access controls or outdated security practices are also at increased risk.
• php / web:
curl -I 'http://your-website.com/lp_admin.php?adminstep='If the response code is 200, it indicates the vulnerability may be present. • generic web:
grep -r 'lp_admin.php?adminstep=' /var/log/apache2/access.logLook for requests to lp_admin.php?adminstep= without authentication headers.
• php / web:
find /var/www/html -name 'lp_admin.php' -printVerify the file exists and check its permissions to ensure it is not publicly accessible.
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Amazing Little Poll a la versión 1.4.1 o superior, que incluye la corrección de seguridad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al archivo lpadmin.php mediante un firewall de aplicaciones web (WAF) o reglas de proxy, bloqueando el acceso directo a la URL lpadmin.php?adminstep=. Además, se recomienda revisar los registros del servidor en busca de intentos de acceso no autorizados al panel de administración. Después de la actualización, confirme que el acceso al panel de administración requiere autenticación válida.
Actualice a una versión parcheada o desactive el plugin si no hay una versión disponible. Restrinja el acceso al archivo lp_admin.php mediante la configuración del servidor web (ej: .htaccess en Apache) para evitar el acceso no autorizado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6768 es una vulnerabilidad de bypass de autenticación en el plugin Amazing Little Poll que permite a usuarios no autenticados acceder al panel de administración sin credenciales.
Si está utilizando Amazing Little Poll en las versiones 1.3 o 1.4, es vulnerable a esta vulnerabilidad. Actualice a la versión 1.4.1 o superior.
La solución es actualizar Amazing Little Poll a la versión 1.4.1 o superior. Como medida temporal, restrinja el acceso a lp_admin.php con un WAF.
Aunque no hay confirmación de explotación activa, la disponibilidad de un proof-of-concept público aumenta el riesgo de explotación.
Consulte el sitio web del desarrollador de Amazing Little Poll o los canales oficiales de comunicación para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.