Plugin WP Travel Engine – Tour Booking Plugin dla WordPress w wersjach do 6.6.7 włącznie zawiera podatność Local File Inclusion umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu PHP. Podatność jest szczególnie groźna ze względu na brak wymogu jakiegokolwiek uwierzytelnienia oraz dostępność z sieci.
▸ Pokaż oryginał (EN)
The WP Travel Engine – Tour Booking Plugin – Tour Operator Software plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 6.6.7 via the mode parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.
Podatność wynika z nieprawidłowej obsługi parametru 'mode' w kontrolerach AJAX pluginu (m.in. FilterTripsHtml i LoadTripsHtml), który jest bezpośrednio wykorzystywany do dołączania plików PHP na serwerze bez odpowiedniej walidacji lub sanityzacji. Atakujący może spreparować żądanie wskazujące na dowolny plik .php dostępny na serwerze, który zostanie następnie załadowany i wykonany przez interpreter PHP. W scenariuszach, gdzie możliwe jest wcześniejsze wgranie pliku .php na serwer (np. przez inną podatność lub funkcję uploadu), prowadzi to bezpośrednio do zdalnego wykonania kodu (RCE).
Atakujący może wykonać dowolny kod PHP na serwerze, obejść mechanizmy kontroli dostępu, uzyskać dostęp do wrażliwych danych (np. danych konfiguracyjnych, danych użytkowników) lub przejąć pełną kontrolę nad aplikacją WordPress i potencjalnie całym serwerem.
Należy niezwłocznie zaktualizować plugin WP Travel Engine do wersji wyższej niż 6.6.7, w której podatność została usunięta. Patche dostępne są za pośrednictwem oficłego repozytorium WordPress. Do czasu aktualizacji należy rozważyć dezaktywację pluginu lub ograniczenie dostępu do endpointów AJAX na poziomie firewalla aplikacyjnego (WAF).
Plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software dla WordPress we wszystkich wersjach do 6.6.7 włącznie.
Podatność sklasyfikowana jako CWE-98 (PHP Remote File Inclusion). Techniczne szczegóły wskazują na podatne klasy FilterTripsHtml.php (linia 72) oraz LoadTripsHtml.php (linia 27) w wersji 6.6.0 pluginu. Szczegółowe informacje opublikowane przez Wordfence Threat Intelligence.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H