Fuente base de datos: Wordfence Intelligence

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation en Events FOR Geodirectory (escalada de privilegios) - version 2.3.29

PLUGIN HIGH CVE-2026-11616

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de escalación de privilegios en el plugin Events Calendar para GeoDirectory, que afecta a las versiones hasta 2.3.28. Esta falla permite a usuarios autenticados con rol de suscriptor o superior obtener privilegios no autorizados, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin Events Calendar para GeoDirectory, específicamente en la gestión de permisos para usuarios autenticados. Los atacantes con rol de suscriptor o superior pueden explotar esta falla para elevar sus privilegios, lo que les permite acceder a funciones restringidas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados realizar acciones que normalmente están reservadas para administradores. Esto podría resultar en la modificación de configuraciones críticas o el acceso a datos sensibles, afectando tanto la integridad del sitio como la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente implica que un atacante autenticado intenta acceder a funciones restringidas a través de solicitudes manipuladas que no son adecuadamente validadas por el sistema.

Mitigación recomendada

Actualizar el plugin Events Calendar para GeoDirectory a la versión 2.3.29 o superior. Revisar los roles y permisos asignados a los usuarios para asegurar que no existan privilegios innecesarios. Implementar medidas de monitoreo para detectar accesos no autorizados o actividades sospechosas.

Señales de detección

Señales que pueden indicar explotación incluyen registros de accesos inusuales por parte de usuarios con privilegios bajos intentando acceder a áreas restringidas del panel de administración.

Alcance afectado

Las versiones del plugin Events Calendar para GeoDirectory hasta la 2.3.28 están afectadas. No se han confirmado casos de explotación en versiones posteriores a la 2.3.29.

Vulnerabilidades relacionadas

HIGH PLUGIN

booking-package

Booking Package <= 1.7.16 - Authenticated (Editor+) Privilege Escalation via Account Takeover to updateUser AJAX Action

CRITICAL PLUGIN

armember

ARMember Premium <= 7.3.1 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

CRITICAL PLUGIN

kirki

Kirki 6.0.0 - 6.0.6 - Unauthenticated Privilege Escalation via 'handle_forgot_password'

CRITICAL PLUGIN

support_ticket

Support Ticket Management System <= 1.9 - Unauthenticated Privilege Escalation

HIGH PLUGIN

ai-engine

AI Engine – The Chatbot, AI Framework & MCP for WordPress <= 3.4.9 - Authenticated (Editor+) Privilege Escalation

CRITICAL PLUGIN

acf-extended

Advanced Custom Fields: Extended <= 0.9.2.5 - Unauthenticated Privilege Escalation via Validation Bypass to '_acf_post_id' Parameter

CRITICAL PLUGIN

wp-google-map-gold

WP Maps Pro <= 6.1.0 - Unauthenticated Privilege Escalation via Administrator Account Creation to wpgmp_temp_access_ajax AJAX Action

HIGH PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.29.2 - Unauthenticated Privilege Escalation via Form Configuration Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto