La vulnerabilidad CVE-2024-12272 afecta al plugin WP Travel Engine – Elementor Widgets | Create Travel Booking Website Using WordPress and Elementor en su versión 1.3.7 y anteriores. Esta vulnerabilidad de Inclusión de Archivos Locales permite a atacantes autenticados con nivel de Contributor o superior ejecutar archivos arbitrarios en el servidor, lo que podría resultar en la ejecución de código PHP malicioso.
La falta de control adecuado de los nombres de archivos en las declaraciones Include/Require en programas PHP es la causa de esta vulnerabilidad en el plugin. Los atacantes podrían aprovechar esta falla para incluir y ejecutar archivos arbitrarios en el servidor, lo que les permitiría eludir controles de acceso, obtener datos sensibles o incluso lograr la ejecución de código malicioso. Se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar periódicamente los permisos de los usuarios en WordPress para evitar posibles ataques.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados a sus últimas versiones para mitigar posibles vulnerabilidades. En el caso de WP Travel Engine – Elementor Widgets, se recomienda actualizar a la versión 1.3.8 o superior para proteger tu sitio de posibles ataques de inclusión de archivos locales.