WordPress Event Manager, Event Calendar and Booking Plugin <= 4.0.24 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Content Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Eventin Pro para WordPress, que permite la eliminación arbitraria de contenido por usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media y afecta a versiones anteriores a la 4.0.25.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en el plugin Eventin Pro, lo que permite a usuarios con permisos limitados realizar acciones no autorizadas, como la eliminación de contenido. La superficie de ataque se centra en las funciones de gestión de eventos y reservas del plugin.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que podría permitir a usuarios malintencionados eliminar contenido crítico, afectando la integridad del sitio y la confianza de los usuarios. Esto podría resultar en pérdidas económicas y en la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante el acceso a funciones del plugin que no están correctamente protegidas, permitiendo a los atacantes ejecutar comandos de eliminación de contenido sin la autorización adecuada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Eventin Pro a la versión 4.0.25 o superior. Además, se debe revisar y reforzar la configuración de permisos de los roles de usuario en el sitio.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de contenido inusuales o no autorizados, así como intentos de acceso a funciones administrativas por parte de usuarios con permisos limitados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.0.25 del plugin Eventin Pro, publicado antes del 13 de agosto de 2025.