Cabecera-v2-web.jpg

Vulnerabilidades en VikBooking Hotel Booking Engine & PMS plugin para WordPress


25/04/2022

Se ha publicado un aviso de seguridad sobre dos vulnerabilidades en un plugin de WordPress, que permitiría a un atacante realizar ejecución remota de código (RCE) y acceder a información confidencial.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 1 (una) de severidad “Media”. Las cuales se detallan a continuación:

  • CVE-2022-27862, de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una incorrecta validación de carga de archivo en el formulario de reserva, que permitiría a un atacante remoto realizar la carga de archivos maliciosos y ejecutarlos en el servidor. La explotación exitosa de esta vulnerabilidad podría conducir a la ejecución remota de código (RCE).
  • CVE-2022-27863, de severidad media, con una puntuación asignada de 5.3. A través de la manipulación de un input desconocido se obtiene una vulnerabilidad de divulgación de información, que permitiría a un atacante obtener los datos de la reserva por medio de ataques de fuerza a través de solicitudes HTTP POST de búsqueda.

Las versiones afectadas son:

  • VikBooking Hotel Booking Engine & PMS versiones 1.5.0 a 1.5.3.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11