Plataforma
wordpress
Componente
wp-travel-engine
Corregido en
5.7.10
La vulnerabilidad CVE-2024-30502 es una inyección SQL detectada en el plugin WP Travel Engine. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. Afecta a las versiones del plugin desde la versión desconocida hasta la 5.7.9. Se recomienda actualizar a la versión 5.7.10 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto incluye información de usuarios, detalles de reservas, y cualquier otra información almacenada en la base de datos. La inyección SQL puede ser utilizada para escalar privilegios, comprometer el servidor web completo, o incluso ejecutar comandos del sistema operativo. La severidad crítica de esta vulnerabilidad la convierte en un objetivo atractivo para atacantes, especialmente aquellos con experiencia en explotación de bases de datos.
La vulnerabilidad fue publicada el 29 de marzo de 2024. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de explotación activa en campañas conocidas. La disponibilidad de un exploit público podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear activamente los registros del servidor y la base de datos en busca de actividad sospechosa.
Websites utilizing the WP Travel Engine plugin, particularly those running versions prior to 5.7.10, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that have not implemented robust input validation and sanitization practices are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query('" | "SELECT * FROM" "/var/www/html/wp-content/plugins/wp-travel-engine/""• generic web:
curl -I https://your-website.com/wp-admin/admin.php?page=wp-travel-engine-settings&action=update_settings&field=some_input' OR 1=1 --silent | grep -i "200 ok"disclosure
patch
Estado del Exploit
EPSS
18.43% (95% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP Travel Engine a la versión 5.7.10 o superior. Antes de actualizar, se recomienda realizar una copia de seguridad completa del sitio web y la base de datos. Si la actualización causa problemas de compatibilidad, considere revertir a una versión anterior estable del plugin o implementar reglas de firewall de aplicaciones web (WAF) para filtrar las consultas SQL maliciosas. Implementar validación y sanitización de todas las entradas de usuario es una práctica de seguridad fundamental para prevenir futuras inyecciones SQL.
Actualice el plugin WP Travel Engine a la última versión disponible. La vulnerabilidad de inyección SQL ciega no autenticada se ha corregido en versiones posteriores a la 5.7.9. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de Plugins y busque WP Travel Engine. Haga clic en 'Actualizar ahora'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-30502 is a critical SQL Injection vulnerability affecting WP Travel Engine versions up to 5.7.9, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using WP Travel Engine version 5.7.9 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade WP Travel Engine to version 5.7.10 or later. Consider a WAF as an interim measure if immediate upgrade is not possible.
While no widespread exploitation has been confirmed, the vulnerability's nature makes it a likely target for malicious actors. Proactive mitigation is highly recommended.
Refer to the WP Travel Engine website and WordPress plugin repository for the latest security advisories and updates related to CVE-2024-30502.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.