Plataforma
wordpress
Componente
motopress-hotel-booking-lite
Corregido en
5.2.4
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en el plugin Hotel Booking Lite de jetmonsters. Esta falla, clasificada como Inclusión Remota de Código, permite a un atacante ejecutar código malicioso en sistemas vulnerables. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 5.2.3, y se recomienda actualizar a la versión 5.2.4 para solucionar el problema.
La vulnerabilidad de Inclusión Remota de Código en Hotel Booking Lite representa un riesgo significativo. Un atacante puede explotar esta falla para ejecutar código arbitrario en el servidor web donde está instalado el plugin. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como información de reservas, datos de clientes, credenciales de acceso), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques contra otros sistemas. La severidad CRÍTICA del CVSS indica un alto potencial de explotación y un impacto devastador.
La vulnerabilidad CVE-2025-66078 fue publicada el 18 de diciembre de 2025. No se ha confirmado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) y su alta puntuación CVSS (9.1) la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas afectados y aplicar la actualización lo antes posible.
Websites utilizing the Hotel Booking Lite plugin, particularly those running older, unpatched versions (0.0.0–5.2.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak WordPress security practices, such as default user credentials or outdated core versions, are also at increased risk.
• wordpress / composer / npm:
grep -r "jetmonsters/hotel-booking-lite" /var/www/html• wordpress / composer / npm:
wp plugin list | grep "Hotel Booking Lite"• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updated version. • generic web: Review web server access logs for suspicious file inclusion attempts (e.g., attempts to include files from unexpected locations).
disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Hotel Booking Lite a la versión 5.2.4 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de acceso al archivo de configuración del plugin, la implementación de un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas, y la revisión de los permisos de archivo para asegurar que el plugin solo tenga acceso a los recursos necesarios. Después de la actualización, verifique la integridad del plugin y asegúrese de que no haya archivos sospechosos.
Actualizar a la versión 5.2.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66078 is a CRITICAL Remote Code Execution vulnerability in the Hotel Booking Lite WordPress plugin, allowing attackers to execute arbitrary code.
You are affected if you are using Hotel Booking Lite versions 0.0.0 through 5.2.3. Upgrade to 5.2.4 or later to resolve the issue.
Upgrade the Hotel Booking Lite plugin to version 5.2.4 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no confirmed exploitation has been publicly reported, the CRITICAL severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official Hotel Booking Lite website and WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.