EventPrime – Events Calendar, Bookings and Tickets <= 4.0.7.3 - Missing Authorization to Authenticated (Subscriber+) Event Attendees Export

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin EventPrime – Events Calendar, Bookings and Tickets en versiones hasta 4.0.7.3, que permite la exportación de asistentes a eventos sin la autorización adecuada. Esta falla afecta a usuarios autenticados con rol de suscriptor y superior.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización al exportar la lista de asistentes a eventos. Esto permite que cualquier usuario autenticado con rol de suscriptor o superior acceda a datos que deberían estar restringidos, comprometiendo la privacidad de los asistentes.

Impacto potencial

El impacto potencial incluye la exposición no autorizada de datos personales de los asistentes a eventos, lo que podría resultar en problemas de cumplimiento normativo y daños a la reputación de la organización. Además, puede afectar la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante la manipulación de solicitudes para acceder a la funcionalidad de exportación de asistentes, sin que se realicen las comprobaciones de autorización necesarias.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 4.0.7.4 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar controles adicionales para la exportación de datos sensibles.

Señales de detección

Señales de riesgo incluyen intentos de exportación de listas de asistentes por parte de usuarios con permisos inadecuados, así como registros de actividad inusuales en el panel de administración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.0.7.4 del plugin EventPrime – Events Calendar, Bookings and Tickets.