Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Eventin en versiones anteriores a la 3.3.53. Esta falla permite que usuarios no autorizados accedan a funcionalidades restringidas del plugin.
Fuente base de datos: Wordfence Intelligence
Eventin <= 3.3.52 - Missing Authorization
PLUGIN
MEDIUM
CVE-2023-49756
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en una falta de controles adecuados de autorización, lo que permite a usuarios no autenticados realizar acciones que deberían estar limitadas a usuarios con permisos específicos. Esto afecta principalmente a la gestión de eventos dentro del plugin.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante potencial manipular eventos y acceder a información sensible, afectando la integridad de los datos y la confianza de los usuarios en la plataforma.
Vector de explotación
Normalmente, esta vulnerabilidad se explota mediante el envío de solicitudes maliciosas a las funcionalidades del plugin que no están adecuadamente protegidas, lo que permite a los atacantes eludir las restricciones de acceso.
Mitigación recomendada
Se recomienda actualizar el plugin Eventin a la versión 3.3.53 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la gestión de accesos.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales a funciones administrativas del plugin y cambios no autorizados en la configuración de eventos.
Alcance afectado
Las versiones del plugin Eventin anteriores a la 3.3.53 están afectadas por esta vulnerabilidad. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión actual.
Vulnerabilidades relacionadas
HIGH
PLUGIN
wp-event-solution
Eventin <= 4.1.3 - Authenticated (Contributor+) PHP Object Injection
HIGH
PLUGIN
wp-event-solution
Eventin – Event Manager, Event Booking, Calendar, Tickets and Registration Plugin (AI Powered) <= 4.0.51 - Missing Authorization to Unauthenticated Stored Cross-Site Scripting via 'post_settings'
HIGH
PLUGIN
wp-event-solution
Event Manager, Events Calendar, Booking, Registrations and Tickets – Eventin <= 4.0.37 - Unauthenticated Server-Side Request Forgery
HIGH
PLUGIN
wp-event-solution
Eventin <= 4.0.31 - Authenticated (Contributor+) PHP Object Injection
HIGH
PLUGIN
wp-event-solution
Eventin <= 4.0.34 - Authenticated (Contributor+) Privilege Escalation via User Email Change/Account Takeover
MEDIUM
PLUGIN
wp-event-solution
Eventin <= 4.0.28 - Reflected Cross-Site Scripting
HIGH
PLUGIN
wp-event-solution
Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.26 - Unauthenticated Arbitrary File Read
CRITICAL
PLUGIN
wp-event-solution
Eventin <= 4.0.26 - Missing Authorization to Unauthenticated Privilege Escalation
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto