Timetable and Event Schedule by MotoPress <= 2.4.1 - Unauthorised Event TimeSlot Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Timetable and Event Schedule' de MotoPress, que permite la actualización no autorizada de los horarios de eventos. Esta falla afecta a las versiones hasta la 2.4.1 y tiene una severidad media con un CVSS de 6.4.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las solicitudes que modifican los horarios de eventos, lo que permite a un atacante no autenticado realizar cambios en los datos sin autorización. La superficie de ataque se centra en las funciones que gestionan la actualización de los horarios, expuestas a través de peticiones HTTP.

Impacto potencial

El impacto potencial incluye la manipulación de eventos programados, lo que podría llevar a confusiones en la gestión de eventos y a la pérdida de confianza por parte de los usuarios. Esto puede afectar la reputación del negocio y provocar pérdidas económicas, especialmente en entornos donde la programación de eventos es crítica.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que permiten la actualización de horarios, sin necesidad de autenticación previa.

Mitigación recomendada

Se recomienda actualizar el plugin 'Timetable and Event Schedule' a la versión 2.4.2 o superior para mitigar esta vulnerabilidad. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de permisos y el uso de nonce en las peticiones que modifican datos.

Señales de detección

Señales de riesgo incluyen registros de intentos de modificación de horarios por usuarios no autenticados y patrones inusuales de tráfico hacia las funciones de actualización del plugin.

Alcance afectado

Las versiones del plugin 'Timetable and Event Schedule' de MotoPress hasta la 2.4.1 son las afectadas. La versión 2.4.2 y posteriores han corregido esta vulnerabilidad.