WP Travel Engine <= 6.5.1 - Authenticated (Contributor+) Local File Inclusion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin WP Travel Engine, que afecta a las versiones hasta la 6.5.1. Esta vulnerabilidad, con un nivel de severidad alto, puede ser explotada por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad permite a un atacante autenticado acceder a archivos del sistema del servidor a través de rutas manipuladas. Esto se debe a una falta de validación adecuada de las entradas, lo que abre la puerta a la inclusión de archivos locales que podrían comprometer la seguridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de información sensible, comprometiendo la integridad y la confidencialidad de los datos del sitio. Esto puede resultar en daños a la reputación de la empresa y posibles sanciones legales si se manejan datos sensibles.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes manipuladas que incluyen rutas a archivos del servidor, lo que les permite acceder a información no autorizada.

Mitigación recomendada

Se recomienda actualizar el plugin WP Travel Engine a la versión 6.5.2 o superior. Además, implementar medidas de seguridad adicionales, como la revisión de permisos de usuario y la configuración adecuada del servidor para limitar el acceso a archivos críticos.

Señales de detección

Señales de explotación pueden incluir accesos inusuales a archivos del sistema o registros de errores que indiquen intentos de inclusión de archivos no autorizados.

Alcance afectado

Las versiones del plugin WP Travel Engine hasta la 6.5.1 son las afectadas. La vulnerabilidad fue corregida en la versión 6.5.2, publicada el 5 de junio de 2025.