WP Travel Engine <= 6.5.1 - Missing Authorization to Unauthenticated Arbitrary Post Deletion

Resumen ejecutivo

La vulnerabilidad identificada en WP Travel Engine permite la eliminación arbitraria de publicaciones por parte de usuarios no autenticados. Esta falla, que afecta a la versión 6.5.1 y anteriores, ha sido calificada con una severidad alta.

Contexto técnico

El fallo se origina en un bypass de autorización que permite a un atacante no autenticado realizar solicitudes que eliminan publicaciones sin la debida verificación. Esto representa una debilidad en la gestión de permisos del plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de contenido crítico y afectar la integridad del sitio, lo que podría traducirse en daños a la reputación y pérdidas económicas para el negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al servidor que no son adecuadamente filtradas, permitiendo así la eliminación de publicaciones sin necesidad de autenticación.

Mitigación recomendada

Actualizar WP Travel Engine a la versión 6.5.2 o superior para corregir esta vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la gestión de contenido.

Señales de detección

Monitorear registros de acceso y actividad del servidor en busca de intentos inusuales de eliminación de publicaciones por usuarios no autenticados.

Alcance afectado

Las versiones afectadas son WP Travel Engine hasta la 6.5.1. La versión 6.5.2 ya incluye la corrección de esta vulnerabilidad.