EventPrime – Events Calendar, Bookings and Tickets <= 3.4.2 - Missing Authorization to Authenticated (Subscriber+) Attendee List Retrieval

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin EventPrime, que afecta a las versiones hasta la 3.4.2. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor acceder a listas de asistentes sin la autorización adecuada.

Contexto técnico

El fallo radica en la falta de controles de autorización en el acceso a la lista de asistentes del plugin EventPrime. Esto permite que cualquier usuario autenticado con privilegios de suscriptor o superiores pueda obtener información sensible sobre otros asistentes.

Impacto potencial

El acceso no autorizado a la lista de asistentes puede comprometer la privacidad de los usuarios y permitir el uso indebido de la información. Esto podría afectar la reputación de la organización y generar problemas legales si se produce un uso indebido de los datos.

Vector de explotación

La explotación de esta vulnerabilidad típicamente ocurre cuando un usuario autenticado realiza una solicitud para acceder a la lista de asistentes, sin que el sistema valide adecuadamente los permisos del usuario.

Mitigación recomendada

Actualizar el plugin EventPrime a la versión 3.4.3 o superior, donde se ha corregido este problema de autorización. Además, se recomienda revisar los permisos de usuario y aplicar políticas de acceso más estrictas.

Señales de detección

Señales de riesgo incluyen accesos inusuales a la lista de asistentes por parte de usuarios con rol de suscriptor, así como logs que muestren intentos de acceso no autorizados a esta información.

Alcance afectado

Las versiones del plugin EventPrime hasta la 3.4.2 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas a la versión corregida 3.4.3.