Fuente base de datos: Wordfence Intelligence

EventPrime <= 4.2.8.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Event Modification via 'event_id' Parameter

PLUGIN MEDIUM CVE-2026-1655

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de modificación arbitraria de eventos en el plugin EventPrime, que afecta a las versiones hasta la 4.2.8.4. Esta falla permite a usuarios autenticados con rol de suscriptor o superior modificar eventos a través del parámetro 'event_id'.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para los usuarios autenticados, lo que permite que aquellos con permisos mínimos accedan y modifiquen eventos sin la validación necesaria. La superficie de ataque se centra en el manejo de parámetros en las solicitudes relacionadas con eventos.

Impacto potencial

El impacto potencial incluye la alteración no autorizada de eventos, lo que podría llevar a la desinformación de los usuarios y la manipulación de datos críticos en la plataforma. Esto puede afectar la confianza de los usuarios y la integridad del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas que incluyen un 'event_id' específico, permitiendo la modificación de eventos sin los permisos adecuados.

Mitigación recomendada

Actualizar el plugin EventPrime a la versión 4.2.8.5 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de seguridad adicionales para mitigar riesgos futuros.

Señales de detección

Señales de riesgo incluyen cambios inesperados en eventos, accesos no autorizados a funciones de modificación de eventos y registros de actividades sospechosas en el panel de administración.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.2.8.5 del plugin EventPrime.