Sommaire
Deux failles critiques ont été découvertes dans le plugin WP Travel Engine, utilisé par plus de 20 000 sites WordPress spécialisés dans les réservations touristiques.
Ces vulnérabilités, notées 9,8/10 sur l’échelle CVSS, permettent à un attaquant non authentifié de prendre le contrôle complet d’un site ou d’exécuter du code à distance.
Un plugin largement utilisé dans le secteur du voyage
WP Travel Engine est l’un des plugins de réservation les plus populaires pour WordPress. Il permet aux agences de voyages et aux tour-opérateurs de gérer leurs offres : création d’itinéraires, sélection de formules, gestion des réservations et paiements en ligne.
Sa large adoption dans l’écosystème WordPress en fait une cible particulièrement attractive pour les cyberattaquants.
1. Path Traversal : suppression et accès aux fichiers système
La première faille provient d’une mauvaise gestion des chemins d’accès (path traversal) dans la fonction set_user_profile_image. Le plugin ne valide pas correctement les chemins de fichiers, ce qui permet à un attaquant non authentifié de supprimer ou renommer n’importe quel fichier sur le serveur.
Un fichier critique comme wp-config.php, s’il est supprimé, désactive la configuration du site et ouvre la porte à une exécution de code à distance (remote code execution). Cette vulnérabilité peut donc servir de point d’entrée initial pour une compromission complète du serveur.
2. Inclusion locale de fichiers : exécution de code arbitraire
La seconde faille provient d’un contrôle insuffisant du paramètre mode, qui permet à un utilisateur non authentifié d’inclure et d’exécuter n’importe quel fichier PHP présent sur le serveur.
Cette LFI (Local File Inclusion) donne la possibilité à un attaquant d’injecter du code malveillant et d’accéder à des données sensibles, voire de prendre le contrôle total du site. Comme la première faille, elle est classée critique avec un score CVSS de 9,8, car elle ne requiert aucune authentification préalable.
Versions concernées et correctif disponible
Les vulnérabilités affectent toutes les versions jusqu’à la 6.6.7 incluse de WP Travel Engine. Une mise à jour corrective est disponible, et il est fortement recommandé de passer immédiatement à la dernière version du plugin.
Les failles pouvant être exploitées sans identifiants, le risque est maximal : un simple scan automatisé peut cibler et infecter les sites non mis à jour.
Recommandations de sécurité
- Mettre à jour immédiatement WP Travel Engine vers la version corrigée.
- Sauvegarder les fichiers et la base de données avant toute mise à jour.
- Vérifier les droits d’accès et la configuration du serveur (permissions, accès SFTP/SSH).
- Activer un pare-feu applicatif (WAF) ou un plugin de sécurité tel que Wordfence, Sucuri ou iThemes Security.
- Surveiller les journaux d’activité pour détecter toute requête suspecte vers
/wp-content/plugins/wp-travel-engine/.
Pourquoi cette alerte est critique pour l’écosystème WordPress
Les failles de WP Travel Engine illustrent une tendance préoccupante : la surface d’attaque croissante des extensions WordPress à fort usage commercial. Les plugins liés aux réservations, aux paiements ou à la gestion d’utilisateurs sont des cibles privilégiées, car ils combinent fort trafic, données sensibles et dépendance à la mise à jour.
Pour les sites du secteur du voyage, cette faille représente un risque d’exploitation en chaîne : vol de données clients, redirections malveillantes et injection de scripts dans les formulaires de réservation.
Conclusion
Cette vulnérabilité rappelle l’importance de la cyber-hygiène proactive sur WordPress.
Avec plus de 20 000 sites concernés, WP Travel Engine devient un point d’entrée privilégié pour les campagnes de piratage automatisées.
En matière de sécurité, la réactivité reste la seule défense efficace : un plugin non mis à jour peut suffire à compromettre l’intégralité d’une infrastructure.
