Una vulnerabilità di gravità media è stata identificata in mojoPortal, una piattaforma CMS open source ampiamente utilizzata da siti web di enti educativi, governativi e piccole imprese. Questa falla consente ad attaccanti non autenticati di accedere a file sensibili tramite una API legacy per la gestione delle immagini. L’obiettivo della divulgazione è evidenziare i rischi legati a modelli non sicuri di accesso ai file e sottolineare l’importanza della validazione dell’input utente, in particolare per codice obsoleto ancora esposto online.

Riassunto tecnico

La vulnerabilità è presente nelle versioni di mojoPortal ≤ 2.9.0.1, in particolare nell’endpoint /api/BetterImageGallery/imagehandler. Questo gestore non sanifica correttamente il parametro path, permettendo attacchi di directory traversal che espongono file di configurazione interni.

Punti tecnici principali:

• Accesso a file non autenticato: Il gestore accetta percorsi di file da input utente senza limitare il traversal oltre la directory di immagini prevista.
• Accesso a Web.Config: Un attaccante può richiedere ../../../Web.Config, ottenendo segreti sensibili dell’applicazione come chiavi di cifratura e credenziali del database.
• Endpoint legacy: L’endpoint vulnerabile fa parte di un vecchio modulo di gestione immagini, il quale potrebbe non essere più mantenuto attivamente in molte installazioni.

Raccomandazioni

Patch (in attesa di rilascio ufficiale)

• Monitorare il repository GitHub di mojoPortal per eventuali patch ufficiali o note di rilascio relative a questo problema.
• Rimuovere temporaneamente o limitare l’accesso all’API BetterImageGallery se non in uso attivo.

Mitigazione temporanea

• Implementare middleware o filtri nel reverse proxy per bloccare pattern ../ negli URL.
• Limitare l’accesso ai file .config a livello di server web (IIS o Apache).