My Calendar <= 3.7.9 - Authenticated (Custom+) Missing Authorization to Unauthorized Event Publication via 'event_approved' Parameter (falta de autorizacion) - version 3.7.10

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin My Calendar (versiones hasta 3.7.9) que permite la publicación no autorizada de eventos. Esta falla puede ser explotada por usuarios autenticados para modificar el estado de los eventos, lo que puede comprometer la integridad de la información en el sitio.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'event_approved', que no verifica adecuadamente los permisos de los usuarios autenticados. Esto permite que un usuario malintencionado publique eventos sin la autorización necesaria, afectando la gestión de contenidos del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la manipulación de eventos en el calendario, lo que podría llevar a la difusión de información errónea o no deseada. Esto puede afectar la confianza de los usuarios en la plataforma y, potencialmente, la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes manipuladas que alteran el estado de aprobación de los eventos, sin requerir privilegios adicionales.

Mitigación recomendada

Actualizar el plugin My Calendar a la versión 3.7.10 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios para asegurar que solo aquellos autorizados puedan gestionar eventos. Implementar medidas de seguridad adicionales, como la auditoría de cambios en el calendario.

Señales de detección

Señales a observar incluyen cambios inusuales en el estado de los eventos publicados, así como registros de actividad sospechosa por parte de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las versiones de My Calendar hasta la 3.7.9. No se han confirmado casos en versiones posteriores a la 3.7.10.