Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WP Hotel Booking <= 2.2.1 - Improper Input Validation to Authenticated (Subscriber+) Rating Manipulation

PLUGIN MEDIUM CVE-2025-8942

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de manipulación de valoraciones en el plugin WP Hotel Booking, que afecta a las versiones hasta la 2.2.1. Esta vulnerabilidad permite a los usuarios autenticados con rol de suscriptor o superior realizar manipulaciones indebidas en las valoraciones.

Contexto técnico

El fallo se origina en una validación inadecuada de las entradas, lo que permite a los usuarios modificar las valoraciones de los hoteles sin las restricciones adecuadas. La superficie de ataque se centra en las funciones que gestionan las valoraciones, accesibles por usuarios autenticados.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la manipulación de la reputación de los hoteles, afectando la confianza de los clientes y, potencialmente, las transacciones comerciales. Esto puede resultar en pérdidas económicas y daños a la imagen de la marca.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando entradas manipuladas a través de formularios de valoración, lo que les permite alterar las calificaciones asignadas a los hoteles.

Mitigación recomendada

Se recomienda actualizar el plugin WP Hotel Booking a la versión 2.2.3 o superior. Además, es aconsejable revisar las configuraciones de permisos de los roles de usuario y aplicar medidas de seguridad adicionales para validar las entradas.

Señales de detección

Señales de riesgo incluyen cambios inusuales en las valoraciones de los hoteles, así como intentos de acceso no autorizados a las funciones de gestión de valoraciones por parte de usuarios con roles inadecuados.

Alcance afectado

Las versiones del plugin WP Hotel Booking hasta la 2.2.1 son vulnerables. La versión 2.2.3 y posteriores han corregido esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-hotel-booking

WP Hotel Booking <= 2.2.7 - Unauthenticated Sensitive Information Exposure via 'email' Parameter

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

Hotel Booking <= 2.2.8 - Authenticated (Editor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

Hotel Booking <= 2.2.8 - Cross-Site Request Forgery

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

Hotel Booking <= 2.2.7 - Unauthenticated Information Exposure

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

WP Hotel Booking <= 2.1.9 - Cross-Site Request Forgery

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

WP Hotel Booking <= 2.1.6 - Missing Authorization to Authenticated (Subscriber+) User Email Retrieval

Ver ficha
MEDIUM PLUGIN

wp-hotel-booking

WP Hotel Booking <= 2.1.5 - Missing Authorization

Ver ficha
HIGH PLUGIN

wp-hotel-booking

WP Hotel Booking <= 2.2.9 - Authenticated (Contributor+) Local File Inclusion

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad