PT-2025-41358 · WordPress · Wp Travel Engine – Tour Booking Plugin – Tour Operator
Wesley
·
Publicado
2025-10-09
·
Atualizado
2025-10-09
·
CVE-2025-7634
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
WP Travel Engine – Tour Booking Plugin – Tour Operator Software versões anteriores à 6.6.8
Descrição
O plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software para WordPress está vulnerável a uma falha de Inclusão de Arquivo Local em versões até a 6.6.7 inclusive. Isso permite que atacantes não autenticados incluam e executem arquivos .php arbitrários no servidor através do parâmetro
mode. A exploração bem-sucedida pode permitir que atacantes contornem controles de acesso, obtenham dados sensíveis ou executem código PHP caso o upload de arquivos .php esteja permitido.Recomendações
Atualize o WP Travel Engine – Tour Booking Plugin – Tour Operator Software para a versão 6.6.8 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Travel Engine – Tour Booking Plugin – Tour Operator