Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

VikBooking Hotel Booking Engine & PMS <= 1.7.2 - Cross-Site Request Forgery to Authenticated (Subscriber+) Arbitrary File Upload

PLUGIN HIGH CVE-2024-11641

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin VikBooking Hotel Booking Engine & PMS, que permite la carga arbitraria de archivos a través de un ataque de Cross-Site Request Forgery (CSRF) en versiones hasta la 1.7.2. Esta falla afecta a usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad se basa en la falta de protección adecuada contra CSRF, lo que permite a un atacante enviar solicitudes maliciosas desde un sitio externo. Esto puede resultar en la carga no autorizada de archivos en el servidor, comprometiendo la integridad del sistema.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante cargue archivos maliciosos que pueden ser ejecutados en el servidor, lo que podría llevar a la toma de control del sitio web o a la filtración de datos sensibles. Esto representa un riesgo significativo tanto para la seguridad del sitio como para la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando un enlace malicioso a un usuario autenticado, incitándole a hacer clic en él. Si el usuario está autenticado, la solicitud maliciosa se ejecuta con los privilegios del usuario, permitiendo la carga de archivos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.7.3 o posterior. Además, se debe implementar un control riguroso sobre las solicitudes de carga de archivos y considerar el uso de tokens CSRF en formularios críticos.

Señales de detección

Señales de riesgo incluyen solicitudes inusuales que intentan cargar archivos sin la debida autenticación o la presencia de archivos no autorizados en el servidor. Monitorear los registros de acceso puede ayudar a identificar patrones sospechosos.

Alcance afectado

Las versiones del plugin VikBooking Hotel Booking Engine & PMS hasta la 1.7.2 están afectadas. Es crucial que los usuarios verifiquen su versión actual y apliquen la actualización necesaria.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.7.2 - Cross-Site Request Forgery to Settings Update

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in save_admin_widgets function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in saveconfig function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in widgets_watch_data function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in exec_multitask_widgets function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.6.1 - Cross-Site Request Forgery in listenTosFieldSavingTask function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in savetranslation function

Ver ficha
MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in exec_admin_widget function

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad