VikBooking Hotel Booking Engine & PMS <= 1.8.10 - Unauthenticated Arbitrary File Deletion (vulnerabilidad)

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin VikBooking Hotel Booking Engine & PMS, que permite la eliminación no autenticada de archivos. Este fallo puede comprometer la integridad de los datos y la seguridad operativa del sitio web.

Contexto técnico

La vulnerabilidad se presenta en la versión 1.8.10 y afecta a la superficie de ataque del plugin, permitiendo a un atacante no autenticado realizar solicitudes que resulten en la eliminación de archivos arbitrarios del servidor.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la eliminación de archivos críticos puede llevar a la pérdida de datos esenciales y afectar la funcionalidad del sitio, además de potenciales repercusiones legales por la exposición de información sensible.

Vector de explotación

La explotación suele realizarse mediante el envío de solicitudes HTTP manipuladas que acceden a funciones no protegidas del plugin, permitiendo el borrado de archivos sin necesidad de autenticación.

Mitigación recomendada

Actualizar el plugin VikBooking a la versión 1.8.10 o superior para cerrar la vulnerabilidad. Revisar los permisos de archivos y directorios en el servidor para limitar el acceso no autorizado. Implementar medidas de seguridad adicionales, como firewalls y sistemas de detección de intrusiones.

Señales de detección

Revisar los logs de acceso en busca de solicitudes inusuales que intenten acceder a funciones de borrado de archivos, así como cambios inesperados en la estructura de archivos del servidor.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin VikBooking hasta la 1.8.10. No se han confirmado otros escenarios de explotación en versiones posteriores.