Duas vulnerabilidades classificadas como críticas foram identificadas no WP Travel Engine, plugin de reservas para WordPress instalado em mais de 20 mil sites de agências de viagens. Ambas permitem que invasores não autenticados assumam controle praticamente total das páginas afetadas e receberam pontuação 9,8 no sistema CVSS, próxima do limite máximo de gravidade.
O que é o WP Travel Engine
O plugin é amplamente utilizado por empresas do setor turístico para que usuários criem roteiros, selecionem pacotes e façam reservas de viagens diretamente em sites construídos em WordPress.
Detalhes das vulnerabilidades
1. Path traversal por restrição inadequada de caminho
A primeira falha está na função set_user_profile_image. Por não haver validação correta dos caminhos de arquivos, invasores podem renomear ou excluir qualquer arquivo no servidor sem necessidade de login. A remoção de arquivos essenciais, como wp-config.php, pode levar à execução remota de código.
2. Inclusão local de arquivos via parâmetro “mode”
A segunda vulnerabilidade decorre do controle insuficiente sobre o parâmetro mode, permitindo que arquivos .php arbitrários sejam incluídos e executados. Isso abre caminho para a execução de código malicioso e acesso a dados sensíveis.
Imagem: Internet
Versões afetadas e recomendação
As duas falhas atingem o plugin nas versões até e incluindo a 6.6.7. Como a exploração dispensa autenticação, os administradores devem atualizar o WP Travel Engine para a versão mais recente o quanto antes, evitando acessos não autorizados e possíveis danos aos sites.
Com informações de Search Engine Journal