Duas vulnerabilidades críticas foram identificadas no WP Travel Engine, plugin de reserva de viagens para WordPress instalado em mais de 20.000 sites. Ambas as vulnerabilidades permitem que invasores não autenticados obtenham controle virtualmente completo de um site e são classificadas como 9,8 na escala CVSS, muito próximo da pontuação mais alta possível para falhas críticas.

Motor de viagens WP

O WP Travel Engine é um plugin WordPress popular usado por agências de viagens para permitir aos usuários planejar itinerários, selecionar diferentes pacotes e reservar qualquer tipo de férias.

Restrição de caminho inadequada (travessia de caminho)

O primeira vulnerabilidade vem de restrição inadequada de caminho de arquivo na função set_user_profile_image do plugin

Como o plug-in não consegue validar os caminhos dos arquivos, invasores não autenticados podem renomear ou excluir arquivos em qualquer lugar do servidor. Excluir um arquivo como wp-config.php desativa a configuração do site e pode permitir a execução remota de código. Essa falha pode permitir que um invasor realize um ataque de execução remota de código a partir do site.

Inclusão de arquivo local via parâmetro de modo

O segunda vulnerabilidade vem do controle inadequado do parâmetro mode, que permite que usuários não autenticados incluam e executem arquivos .php arbitrários

Isso permite que um invasor execute código malicioso e acesse dados confidenciais. Assim como a primeira falha, ela tem pontuação CVSS de 9,8 e é classificada como crítica porque permite a execução de código não autenticado que pode expor ou danificar os dados do site.

Recomendação

Ambas as vulnerabilidades afetam versões até 6.6.7 inclusive. Os proprietários de sites que usam WP Travel Engine devem atualizar o plugin para a versão mais recente o mais rápido possível. Ambas as vulnerabilidades podem ser exploradas sem autenticação, portanto, recomenda-se a atualização imediata para evitar acesso não autorizado.

Imagem em destaque por Shutterstock/Hybrid_Graphics