Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 697

Inclusión local de archivos (LFI)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Inclusión local de archivos (LFI)?

Inclusión local de archivos (LFI)Vulnerabilidad que permite al atacante hacer que el servidor incluya y ejecute o muestre archivos locales seleccionados mediante entradas no saneadas.

La inclusión local de archivos (LFI) surge cuando una aplicación web incluye una ruta proporcionada por el usuario sin validación, normalmente en lenguajes como PHP, JSP o ASP clásico. El atacante puede leer código fuente, archivos de configuración o logs, y escalar a ejecución remota de código incluyendo archivos con contenido controlado (por ejemplo envenenamiento de logs, entradas de /proc, archivos de sesión o imágenes con código embebido). La LFI se solapa con el traversal de directorios pero apunta concretamente a las funciones include o require del runtime. Las defensas incluyen listas blancas de nombres de plantilla, enrutado seguro en lugar de includes dinámicos, validación de rutas tras canonicalizarlas y desactivar la inclusión de URLs remotas.

Ejemplos

  1. 01

    Un endpoint con page=../../../var/log/apache2/access.log que ejecuta cadenas de User-Agent manipuladas como PHP.

  2. 02

    Un panel de administración que usa ?lang=es se vuelve vulnerable cuando ?lang=../../etc/passwd revela los usuarios del sistema.

Preguntas frecuentes

¿Qué es Inclusión local de archivos (LFI)?

Vulnerabilidad que permite al atacante hacer que el servidor incluya y ejecute o muestre archivos locales seleccionados mediante entradas no saneadas. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Inclusión local de archivos (LFI)?

Vulnerabilidad que permite al atacante hacer que el servidor incluya y ejecute o muestre archivos locales seleccionados mediante entradas no saneadas.

¿Cómo defenderse de Inclusión local de archivos (LFI)?

Las defensas contra Inclusión local de archivos (LFI) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Inclusión local de archivos (LFI)?

Nombres alternativos comunes: LFI.

Términos relacionados