Resumen ejecutivo
Se ha identificado una vulnerabilidad de falta de autorización en el plugin WP Travel Engine, afectando a versiones hasta la 6.7.10. Esta brecha puede comprometer la seguridad operativa de los sitios que utilizan este componente.
Fuente base de datos: Wordfence Intelligence
WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.7.10 - Missing Authorization (falta de autorizacion) - version 6.7.11
PLUGIN
MEDIUM
CVE-2026-49078
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se encuentra en el plugin WP Travel Engine, utilizado para la gestión de reservas de tours. La falta de autorización permite a un atacante acceder a funciones restringidas sin la debida validación, exponiendo el sistema a manipulaciones no autorizadas.
Impacto potencial
El impacto de esta vulnerabilidad puede incluir el acceso no autorizado a datos sensibles de usuarios y la posibilidad de realizar acciones administrativas sin permiso. Esto podría afectar la confianza de los clientes y la integridad del negocio.
Vector de explotación
La explotación se puede llevar a cabo mediante la ejecución de solicitudes maliciosas que aprovechan la falta de controles de autorización en las funciones del plugin.
Mitigación recomendada
Actualizar el plugin WP Travel Engine a la versión 6.7.11 o superior. Revisar los permisos de usuario y las configuraciones de acceso relacionadas con el plugin. Monitorear los registros de actividad para detectar accesos no autorizados.
Señales de detección
Señales de riesgo incluyen intentos de acceso a funciones administrativas sin autenticación previa, así como entradas inusuales en los registros de actividad del plugin.
Alcance afectado
Las versiones afectadas incluyen WP Travel Engine hasta la 6.7.10. No se han confirmado otros escenarios o versiones más allá de esta.
Vulnerabilidades relacionadas
HIGH
PLUGIN
wp-travel-engine
WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.7.12 - Unauthenticated PHP Object Injection
MEDIUM
PLUGIN
wp-travel-engine
WP Travel Engine - Travel and Tour Booking Plugin <= 6.7.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via wte_trip_tax Shortcode
CRITICAL
PLUGIN
wp-travel-engine
WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.6.7 - Unauthenticated Local File Inclusion
CRITICAL
PLUGIN
wp-travel-engine
WP Travel Engine – Tour Booking Plugin – Tour Operator Software <= 6.6.7 - Authenticated (Subscriber+) Arbitrary File Deletion via File Renaming
HIGH
PLUGIN
wp-travel-engine
WP Travel Engine <= 6.5.1 - Missing Authorization to Unauthenticated Arbitrary Post Deletion
HIGH
PLUGIN
wp-travel-engine
WP Travel Engine <= 6.5.1 - Authenticated (Contributor+) Local File Inclusion
HIGH
PLUGIN
wp-travel-engine
WP Travel Engine <= 6.3.5 - Authenticated (Contributor+) Local File Inclusion
CRITICAL
PLUGIN
wp-travel-engine
WP Travel Engine <= 6.3.5 - Unauthenticated Local File Inclusion
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto