EventON - WordPress Virtual Event Calendar Plugin <= 4.5.8 (Pro) & <= 2.2.7 (Free) - Missing Authorization via eventon_save_virtual_event_settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin EventON para WordPress, que afecta a las versiones anteriores a 4.5.8 (Pro) y 2.2.7 (Free). Esta vulnerabilidad permite que un atacante no autorizado realice acciones que deberían estar restringidas.

Contexto técnico

El fallo se origina en la falta de un control de autorización adecuado en la función 'eventon_save_virtual_event_settings'. Esto permite a usuarios no autenticados modificar configuraciones críticas del plugin, lo que podría comprometer la integridad del sistema.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante altere configuraciones del calendario virtual, afectando la funcionalidad del sitio y la experiencia del usuario. Esto podría resultar en pérdidas económicas y daños a la reputación de la marca.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable sin necesidad de autenticación previa, lo que facilita la explotación.

Mitigación recomendada

Actualizar el plugin EventON a la versión 2.2.8 o superior es esencial para mitigar esta vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening adicionales en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen actividad inusual en las configuraciones del plugin o intentos de acceso no autorizados a las funciones administrativas del mismo.

Alcance afectado

Las versiones afectadas son EventON Pro hasta la 4.5.8 y EventON Free hasta la 2.2.7. Es crucial verificar las versiones instaladas para asegurar la protección.