WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.6.7 - Unauthenticated Local File Inclusion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP Travel Engine, que permite la inclusión local de archivos sin autenticación. Esta vulnerabilidad afecta a las versiones hasta la 6.6.7 y puede comprometer gravemente la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se clasifica como Inclusión Local de Archivos (LFI), que permite a un atacante acceder a archivos del servidor de forma no autorizada. Esto se debe a una falta de validación adecuada en las rutas de los archivos, lo que expone la superficie de ataque a usuarios malintencionados.

Impacto potencial

El impacto potencial incluye la exposición de información sensible del servidor, la posibilidad de ejecutar código malicioso y, en última instancia, la toma de control del sitio web. Esto puede resultar en daños a la reputación de la empresa y en pérdidas económicas significativas.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad manipulando las solicitudes HTTP para acceder a archivos críticos del sistema. Esto se realiza sin necesidad de autenticación, lo que aumenta el riesgo de explotación.

Mitigación recomendada

Actualizar el plugin WP Travel Engine a la versión 6.6.8 o superior. Además, se recomienda revisar las configuraciones de seguridad del servidor y aplicar controles de acceso adecuados para mitigar el riesgo de LFI.

Señales de detección

Señales de riesgo incluyen accesos inusuales a archivos del servidor, errores en los registros de acceso que indiquen intentos de manipulación de rutas de archivo y alertas de seguridad generadas por sistemas de detección de intrusiones.

Alcance afectado

Las versiones del plugin WP Travel Engine hasta la 6.6.7 son vulnerables. Se aconseja a todos los usuarios de este plugin que realicen la actualización de inmediato.