Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.7.12 - Unauthenticated PHP Object Injection (vulnerabilidad) - version 6.8.0

PLUGIN HIGH CVE-2026-49770

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP no autenticada en el plugin WP Travel Engine, afectando versiones hasta la 6.7.12. Esta falla de seguridad permite a atacantes ejecutar código malicioso, lo que puede comprometer la integridad del sitio web y la seguridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se origina en el plugin WP Travel Engine, específicamente en su capacidad para procesar objetos PHP sin la debida autenticación. Esto permite que un atacante envíe solicitudes maliciosas que pueden ser interpretadas por el servidor, exponiendo el sistema a inyecciones de código no deseadas.

Impacto potencial

El impacto potencial incluye la posibilidad de ejecución remota de código, lo que podría llevar a la alteración del sitio, robo de datos sensibles y un daño significativo a la reputación del negocio. La severidad de esta vulnerabilidad, clasificada como alta con un CVSS de 8.1, requiere atención inmediata.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes específicamente diseñadas que aprovechan la falta de validación en el procesamiento de objetos PHP, permitiendo así la ejecución de código malicioso sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin WP Travel Engine a la versión 6.8.0 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para detectar posibles intentos de explotación previos a la actualización. Implementar medidas de seguridad adicionales, como firewalls y restricciones de acceso, para mitigar riesgos futuros.

Señales de detección

Señales a tener en cuenta incluyen entradas inusuales en los registros de acceso, especialmente aquellas que intentan acceder a endpoints del plugin sin autenticación, así como cualquier actividad sospechosa relacionada con la manipulación de objetos PHP.

Alcance afectado

Las versiones del plugin WP Travel Engine hasta la 6.7.12 están afectadas. No se han confirmado casos en versiones posteriores a la 6.8.0.

Vulnerabilidades relacionadas

HIGH PLUGIN

wp-travel-engine

WP Travel Engine <= 6.5.1 - Missing Authorization to Unauthenticated Arbitrary Post Deletion

Ver ficha
MEDIUM PLUGIN

wp-travel-engine

WP Travel Engine <= 5.8.0 - Unauthenticated Price Manipulation

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad