NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

CVE-2024-58349: Detectada Vulnerabilidad Crítica (CVSS 9.8)

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

CVE-2024-58349: Detectada Vulnerabilidad Crítica (CVSS 9.8)

⟫ 08/06/2026 ⟫ NVD/NIST
Fuente: NVD NIST

**Una nueva vulnerabilidad crítica en WordPress pone en riesgo a miles de sitios web**

Una reciente vulnerabilidad de alta gravedad ha sido descubierta en el popular sistema de gestión de contenidos WordPress, específicamente en el tema Travelscape, versión 1.0.3. Esta vulnerabilidad, identificada con el número CVE-2024-58349, cuenta con una alarmante puntuación de 9.8 sobre 10 en la escala del Common Vulnerability Scoring System (CVSS), lo que la clasifica como crítica. Dada su naturaleza y el potencial de explotación, este hallazgo representa una amenaza significativa no solo para los administradores de sitios web que utilizan este tema, sino también para los usuarios que confían en la seguridad de estas plataformas.

La vulnerabilidad en cuestión permite a atacantes no autenticados subir archivos maliciosos al servidor, aprovechando una validación insuficiente en la funcionalidad de carga del tema. Esta debilidad se clasifica como CWE-434, que se refiere a la carga de archivos arbitrarios. Una vez que un atacante logra subir un archivo malicioso a la carpeta del tema, puede ejecutar ese archivo, lo que le otorga acceso remoto y control sobre la instalación de WordPress afectada. Esto pone a disposición del atacante la posibilidad de ejecutar código arbitrario, lo que podría resultar en la toma de control total del sitio.

El vector de ataque es de tipo NETWORK, lo que implica que los atacantes pueden aprovechar esta vulnerabilidad de forma remota, sin necesidad de acceso físico al servidor afectado. La complejidad del ataque se considera baja, lo que significa que no se requieren habilidades técnicas avanzadas para explotar esta vulnerabilidad. Además, no se requieren privilegios especiales ni la interacción del usuario, lo que aumenta aún más el riesgo de que esta vulnerabilidad sea explotada en un entorno de producción.

La puntuación CVSS de 9.8 indica que se trata de una de las vulnerabilidades más críticas que pueden encontrarse, ya que aquellas que superan el umbral de 9.0 generalmente permiten la ejecución remota de código, la escalada de privilegios o el compromiso total de sistemas. Esto supone un riesgo inminente para los administradores de sistemas, quienes deben actuar con rapidez para mitigar las consecuencias potenciales.

Para abordar esta situación, se recomienda encarecidamente a todas las organizaciones que utilizan el tema Travelscape que apliquen de inmediato los parches de seguridad disponibles. Además, es esencial que realicen una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso, así como que monitoricen el tráfico de red para detectar actividades sospechosas que pudieran estar relacionadas con esta vulnerabilidad.

Los administradores pueden encontrar información técnica adicional y detalles sobre los parches disponibles en los siguientes enlaces: [Exploit Database](https://www.exploit-db.com/exploits/51969) y [VulnCheck](https://www.vulncheck.com/advisories/wordpress-theme-travelscape-arbitrary-file-upload).

Este incidente pone de manifiesto la importancia de mantener un enfoque proactivo en la ciberseguridad, especialmente en plataformas ampliamente utilizadas como WordPress. Las vulnerabilidades de este tipo no son nuevas; en el pasado, hemos visto situaciones similares donde temas y plugins de WordPress han sido objeto de ataques debido a debilidades en su código. Las lecciones aprendidas en estos incidentes resaltan la necesidad de una vigilancia constante y de una rápida respuesta ante nuevas amenazas en el ecosistema digital.

◢ VULNERABILIDADES ◣

CVE-2024-58349: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 08/06/2026 ⟫ NVD/NIST
Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2024-58349, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: WordPress Theme Travelscape 1.0.3 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by exploiting insufficient validation in the theme's upload functionality. Attackers can upload arbitrary files to the theme directory and execute them to achieve remote code execution on the affected WordPress installation. La vulnerabilidad está clasificada como CWE-434, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://www.exploit-db.com/exploits/51969 https://www.vulncheck.com/advisories/wordpress-theme-travelscape-arbitrary-file-upload Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
CVE-2024-58349: Detectada Vulnerabilidad Crítica (CVSS 9.8) | Ciberseguridad - NarcoObservatorio