{"id":129679,"date":"2025-10-12T18:01:33","date_gmt":"2025-10-12T16:01:33","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=129679"},"modified":"2025-10-12T18:01:34","modified_gmt":"2025-10-12T16:01:34","slug":"detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/","title":{"rendered":"Detectadas vulnerabilidades cr\u00edticas en WordPress que afectan a m\u00e1s de 20.000 webs de viajes"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p>Una grave alerta de seguridad sacude el sector de los viajes online: m\u00e1s de <strong>20.000 sitios web<\/strong> creados en WordPress y dedicados a reservas tur\u00edsticas han sido afectados por vulnerabilidades cr\u00edticas en uno de los plugins m\u00e1s populares. Descubre en esta noticia todos los detalles sobre los fallos detectados y las recomendaciones clave para los administradores de p\u00e1ginas web.<\/p>\n<p>Seg\u00fan informes recientes, expertos en ciberseguridad han identificado <strong>dos vulnerabilidades cr\u00edticas<\/strong> en WP Travel Engine, uno de los plugins m\u00e1s utilizados para gestionar reservas y paquetes de viajes en p\u00e1ginas WordPress.<\/p> <p>Este plugin, instalado en m\u00e1s de <strong>20.000 sitios web<\/strong> a nivel mundial, es un componente esencial para muchas agencias de viajes que ofrecen itinerarios personalizados y diferentes tipos de reservas a trav\u00e9s de internet.<\/p> <p>Sin embargo, las vulnerabilidades detectadas reciben una puntuaci\u00f3n de <strong>9,8 en la escala CVSS<\/strong>, considerada casi la m\u00e1xima calificaci\u00f3n para indicar el nivel de criticidad de una amenaza en ciberseguridad.<\/p> <p>Estos fallos permiten que atacantes sin autenticaci\u00f3n previa puedan obtener el control casi total de una p\u00e1gina web afectada, facilitando as\u00ed potenciales ataques y la filtraci\u00f3n o destrucci\u00f3n de datos confidenciales.<\/p> <div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/#Como_pueden_explotar_los_atacantes_el_fallo_de_Path_Traversal\" >C\u00f3mo pueden explotar los atacantes el fallo de Path Traversal<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/#La_amenaza_por_inclusion_de_archivos_locales_mediante_el_parametro_mode\" >La amenaza por inclusi\u00f3n de archivos locales mediante el par\u00e1metro mode<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/#Medidas_urgentes_como_proteger_tu_web_de_reservas\" >Medidas urgentes: c\u00f3mo proteger tu web de reservas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/#Enlaces_y_recursos_relacionados_para_optimizar_la_seguridad\" >Enlaces y recursos relacionados para optimizar la seguridad<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Como_pueden_explotar_los_atacantes_el_fallo_de_Path_Traversal\"><\/span>C\u00f3mo pueden explotar los atacantes el fallo de Path Traversal<span class=\"ez-toc-section-end\"><\/span><\/h2> <p>El primer problema de seguridad proviene de una inadecuada restricci\u00f3n de rutas de archivos en la funci\u00f3n <strong>set_user_profile_image<\/strong> del plugin.<\/p> <p>Seg\u00fan la fuente, debido a la falta de validaci\u00f3n de rutas, un atacante sin credenciales puede <strong>renombrar o eliminar archivos del servidor<\/strong> a voluntad.<\/p> <p>Esto implica riesgos importantes, como la posibilidad de eliminar archivos clave como <strong>wp-config.php<\/strong>, lo que podr\u00eda deshabilitar la configuraci\u00f3n de la web y favorecer un ataque de ejecuci\u00f3n remota de c\u00f3digo.<\/p> <p>En manos maliciosas, esta vulnerabilidad podr\u00eda dar lugar a la manipulaci\u00f3n completa del sitio, instalaci\u00f3n de archivos no autorizados o robo de informaci\u00f3n sensible de la web.<\/p> <h2><span class=\"ez-toc-section\" id=\"La_amenaza_por_inclusion_de_archivos_locales_mediante_el_parametro_mode\"><\/span>La amenaza por inclusi\u00f3n de archivos locales mediante el par\u00e1metro mode<span class=\"ez-toc-section-end\"><\/span><\/h2> <p>El segundo fallo de seguridad se origina por un control insuficiente del <strong>par\u00e1metro mode<\/strong>, presente en el plugin WP Travel Engine.<\/p> <p>Esto permite que un usuario sin autenticaci\u00f3n pueda <strong>incluir y ejecutar archivos PHP arbitrarios<\/strong> en el servidor objetivo.<\/p> <p>La consecuencia directa es que cualquier atacante puede <strong>ejecutar c\u00f3digo malicioso<\/strong> y acceder a datos restringidos o da\u00f1ar la integridad del sitio web.<\/p> <p>De acuerdo con los expertos, ambos errores suponen un nivel de criticidad m\u00e1ximo al facilitar la ejecuci\u00f3n de c\u00f3digo no autorizado sin necesidad de credenciales de acceso.<\/p> <h2><span class=\"ez-toc-section\" id=\"Medidas_urgentes_como_proteger_tu_web_de_reservas\"><\/span>Medidas urgentes: c\u00f3mo proteger tu web de reservas<span class=\"ez-toc-section-end\"><\/span><\/h2> <p>Las vulnerabilidades afectan a todas las versiones de WP Travel Engine hasta la 6.6.7 inclusive, seg\u00fan la nota de prensa consultada.<\/p> <p>Por eso, los responsables de p\u00e1ginas web que utilicen este plugin deben <strong>actualizar de inmediato a la \u00faltima versi\u00f3n disponible<\/strong> desde el repositorio oficial de WordPress o la web del desarrollador.<\/p> <p>La actualizaci\u00f3n resulta imprescindible, pues los ataques pueden producirse <strong>sin autenticaci\u00f3n<\/strong>, lo que incrementa significativamente el riesgo para las empresas del sector tur\u00edstico.<\/p> <p>Adem\u00e1s, se recomienda siempre mantener copias de seguridad regulares e implementar <strong>niveles adicionales de seguridad<\/strong> en WordPress, como el uso de plugins de firewall, autenticaci\u00f3n de dos factores y monitoreo de actividad sospechosa.<\/p> <h2><span class=\"ez-toc-section\" id=\"Enlaces_y_recursos_relacionados_para_optimizar_la_seguridad\"><\/span>Enlaces y recursos relacionados para optimizar la seguridad<span class=\"ez-toc-section-end\"><\/span><\/h2> <p>Para ampliar informaci\u00f3n sobre buenas pr\u00e1cticas en el desarrollo web y la gesti\u00f3n segura de plugins en WordPress puedes visitar la <a href=\"https:\/\/es.wordpress.org\/about\/security\/\" target=\"_blank\" rel=\"noopener\">secci\u00f3n oficial de seguridad de WordPress<\/a>.<\/p>\n\n\n\n<p>Fuente: https:\/\/www.searchenginejournal.com\/multiple-wordpress-vulnerabilities-affects-20000-travel-sites\/558052\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una grave alerta de seguridad sacude el sector de los viajes online: m\u00e1s de 20.000 sitios web creados en WordPress &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Detectadas vulnerabilidades cr\u00edticas en WordPress que afectan a m\u00e1s de 20.000 webs de viajes\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/detectadas-vulnerabilidades-criticas-en-wordpress-que-afectan-a-mas-de-20-000-webs-de-viajes\/#more-129679\" aria-label=\"Leer m\u00e1s sobre Detectadas vulnerabilidades cr\u00edticas en WordPress que afectan a m\u00e1s de 20.000 webs de viajes\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124496,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-129679","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129679","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=129679"}],"version-history":[{"count":1,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129679\/revisions"}],"predecessor-version":[{"id":129680,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129679\/revisions\/129680"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124496"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=129679"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=129679"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=129679"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}