Fuente base de datos: Wordfence Intelligence

EventPrime – Events Calendar, Bookings and Tickets <= 4.3.2.1 - Authenticated (Subscriber+) Stored Cross-Site Scripting en Eventprime Event Calendar Management (Cross-Site Scripting (XSS)) - version 4.3.2.2

PLUGIN MEDIUM CVE-2026-42686

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin EventPrime para WordPress, afectando a las versiones hasta 4.3.2.1. Este fallo permite a usuarios autenticados (nivel suscriptor o superior) inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio y afectar la experiencia del usuario.

Contexto técnico

La vulnerabilidad se manifiesta en la gestión de eventos y reservas del plugin EventPrime, permitiendo que un atacante autenticado inyecte código JavaScript en el sistema. Esto ocurre en el contexto de las funcionalidades donde se procesan entradas de usuario, lo que expone la superficie de ataque a usuarios con permisos de suscriptor o mayores.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la interfaz de usuario. Esto puede resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la inyección de código JavaScript en campos de entrada del plugin, que son procesados sin la debida sanitización. Esto permite que el código malicioso se ejecute en el contexto de otros usuarios que interactúan con la aplicación.

Mitigación recomendada

Actualizar el plugin EventPrime a la versión 4.3.2.2 o superior para corregir la vulnerabilidad. Revisar y sanitizar todas las entradas de usuario en el plugin para prevenir futuras inyecciones de código. Realizar auditorías de seguridad periódicas para identificar y mitigar vulnerabilidades similares.

Señales de detección

Señales a observar incluyen entradas no válidas en los logs del servidor, intentos de inyección de scripts en campos de formularios y comportamientos anómalos en la interacción de usuarios con el sistema.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin EventPrime hasta la 4.3.2.1. No se han confirmado casos de explotación en versiones superiores a la 4.3.2.2.