Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin EventPrime para WordPress, que afecta a las versiones hasta la 4.2.8.0. Esta falla puede permitir accesos no autorizados a funcionalidades restringidas del plugin.
Fuente base de datos: Wordfence Intelligence
EventPrime <= 4.2.8.0 - Missing Authorization en Eventprime Event Calendar Management (falta de autorizacion) - version 4.2.8.1
PLUGIN
MEDIUM
CVE-2026-24380
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin EventPrime, lo que permite a usuarios no autenticados o malintencionados realizar acciones que deberían estar restringidas. Esto amplía la superficie de ataque al permitir interacciones no deseadas con el sistema.
Impacto potencial
El impacto de esta vulnerabilidad puede comprometer la integridad y la confidencialidad de los datos gestionados por el plugin, afectando potencialmente a la reputación del negocio y a la confianza de los usuarios. Además, podría facilitar el acceso no autorizado a información sensible.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funcionalidades del plugin que carecen de la adecuada verificación de permisos. Esto puede incluir la manipulación de datos o la ejecución de acciones no autorizadas.
Mitigación recomendada
Se recomienda actualizar el plugin EventPrime a la versión 4.2.8.1 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas en el sitio web.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales a funciones administrativas del plugin o intentos de acceso a recursos restringidos sin la debida autorización.
Alcance afectado
Las versiones del plugin EventPrime hasta la 4.2.8.0 son las afectadas, mientras que la versión 4.2.8.1 y posteriores han corregido esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime – Events Calendar, Bookings and Tickets <= 4.2.8.3 - Missing Authorization
HIGH
PLUGIN
eventprime-event-calendar-management
EventPrime – Events Calendar, Bookings and Tickets <= 4.2.8.0 - Unauthenticated PHP Object Injection
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime – Events Calendar, Bookings and Tickets <= 4.2.6.0 - Missing Authorization
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime <= 4.2.8.3 - Unauthenticated Information Exposure
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime <= 4.2.8.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Event Modification via 'event_id' Parameter
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime <= 4.2.8.4 - Missing Authorization to Unauthenticated Image Upload via 'ep_upload_file_media' AJAX Endpoint
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime - Events Calendar, Bookings and Tickets <= 4.2.7.0 - Unauthenticated Sensitive Information Exposure via REST API
MEDIUM
PLUGIN
eventprime-event-calendar-management
EventPrime – Events Calendar, Bookings and Tickets <= 4.2.0.0 - Missing Authorization to Authenticated (Subscriber+) Booking Note Creation
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto