Se han revelado tres fallas de seguridad en el paquete PHP de c\u00f3digo abierto Viajero<\/a> Eso podr\u00eda ser explotado por un atacante para lograr una ejecuci\u00f3n de c\u00f3digo remoto con un solo clic en las instancias afectadas.<\/p>\n “Cuando un usuario de Voyager autenticado hace clic en un enlace malicioso, los atacantes pueden ejecutar c\u00f3digo arbitrario en el servidor”, el investigador de sonar Yaniv Nizry dicho<\/a> En un art\u00edculo publicado a principios de esta semana.<\/p>\n Los problemas identificados, que permanecen sin parches hasta la fecha a pesar de la divulgaci\u00f3n responsable el 11 de septiembre de 2024, se enumeran a continuaci\u00f3n –<\/p>\n Un atacante malicioso podr\u00eda aprovechar la funci\u00f3n de carga de medios de Voyager para cargar un archivo malicioso de una manera que evita la verificaci\u00f3n de tipo MIME y utilizar un archivo pol\u00edglot que aparece como una imagen o video pero contiene un c\u00f3digo PHP ejecutable para enga\u00f1ar al servidor para que lo procese como un script PHP, lo que resulta en la ejecuci\u00f3n de c\u00f3digo remoto.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-defectos-de-Voyager-PHP-sin-parpadear-dejan-los-servidores.jpg\")
<\/a><\/center><\/div>\n\n