Vulnerabilidad en Mautic (CVE-2024-47056)

Resumen: Este aviso aborda una vulnerabilidad de seguridad en Mautic que permite acceder directamente a archivos de configuración .env confidenciales a través de un navegador web. Esta exposición podría provocar la divulgación de información confidencial, como credenciales de bases de datos, claves de API y otras configuraciones críticas del sistema. Divulgación de información confidencial mediante la exposición de archivos .env: El archivo .env, que suele contener variables de entorno y configuraciones confidenciales de aplicaciones, es accesible directamente a través de un navegador web debido a la falta de configuraciones del servidor web que restringen el acceso a dichos archivos. Esto permite que un atacante no autenticado vea el contenido de este archivo simplemente accediendo a su URL. Mitigación: Actualice Mautic a la última versión. De forma predeterminada, Mautic no utiliza archivos .env para datos de producción. Para usuarios de Apache: Asegúrese de que su servidor web esté configurado para respetar los archivos .htaccess. Para usuarios de Nginx: Dado que Nginx no admite archivos .htaccess de forma inherente, debe agregar manualmente un bloque de configuración a la configuración de su servidor Nginx para denegar el acceso a los archivos .env. Agregue lo siguiente a su configuración de Nginx para el sitio de Mautic: location ~ /\.env { deny all; } Después de modificar su configuración de Nginx, recuerde volver a cargar o reiniciar su servicio Nginx para que los cambios surtan efecto.