Fuente base de datos: Wordfence Intelligence

EventON - WordPress Virtual Event Calendar Plugin Pro <= 4.5.4 & Free <= 2.2.7 - Missing Authorization to Arbitrary Post Meta Update via evo_eventpost_update_meta

PLUGIN MEDIUM CVE-2023-6158

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin EventON, que permite la actualización arbitraria de metadatos de publicaciones. Esta vulnerabilidad afecta tanto a la versión Pro como a la gratuita del plugin hasta la versión 4.5.4 y 2.2.7, respectivamente.

Contexto técnico

El fallo radica en la falta de autorización adecuada al actualizar metadatos de publicaciones a través de la función evo_eventpost_update_meta. Esto permite a usuarios no autorizados realizar cambios en los metadatos de publicaciones, comprometiendo la integridad de los datos.

Impacto potencial

El impacto potencial incluye la alteración de contenido en el sitio web y la posibilidad de que un atacante modifique información crítica, lo que puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas para actualizar metadatos sin la debida autorización, lo que podría llevar a la manipulación de publicaciones existentes.

Mitigación recomendada

Actualizar el plugin EventON a la versión 2.2.8 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el sitio.

Señales de detección

Señales de riesgo pueden incluir cambios inesperados en los metadatos de publicaciones o intentos de acceso no autorizado a funciones administrativas del plugin.

Alcance afectado

Las versiones afectadas son EventON Pro hasta la 4.5.4 y EventON Free hasta la 2.2.7. Las versiones posteriores no están afectadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

eventon-lite

EventON Lite <= 2.4.7 - Authenticated (Contributor+) Information Disclosure

MEDIUM PLUGIN

eventon-lite

EventON <= 2.4.4 - Missing Authorization

HIGH PLUGIN

eventon-lite

EventON <= 2.4.1 - Authenticated (Contributor+) Local File Inclusion

CRITICAL PLUGIN

eventon-lite

EventON <= 2.4 - Unauthenticated Local File Inclusion

HIGH PLUGIN

eventon-lite

EventON <= 2.4.1 - Authenticated (Contributor+) Local File Inclusion

MEDIUM PLUGIN

eventon-lite

EventON <= 2.2.16 - Authenticated (Admin+) Stored Cross-Site Scripting

HIGH PLUGIN

eventon-lite

EventON <= 2.2.15 - Missing Authorization to Unauthenticated Stored Cross-Site Scripting and Plugin Settings Updates

MEDIUM PLUGIN

eventon-lite

EventON <= 2.2.14 - Authenticated (Administrator+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto