CVE-2025-2000

CRÍTIC (9,8)

CVSS3: 0,0

El tema Traveler per a WordPress és vulnerable a la inclusió de fitxers locals en totes les versions fins a la 3.1.8 inclosa mitjançant el paràmetre “estil” de la funció “hotel_alone_load_more_post”. Això fa possible que els atacants no autenticats incloguin i executin fitxers arbitraris al servidor, cosa que permet l’execució de qualsevol codi PHP en aquests fitxers. Això es pot utilitzar per evitar els controls d’accés, obtenir dades delicades o aconseguir l’execució de codi en els casos en què es pot carregar i incloure un tipus de fitxer php.

Sistemes Afectats

• ShineTheme Travel Booking WordPress Theme

Remediació
No hi ha cap recurs disponible a partir del 15 de març del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/da3e3d6c-7643-4f22-aa88-2c4ce80aed1f?source=cve
• https://travelerwp.com/traveler-changelog/