Events Manager < 5.9.7.2 & Events Manager Pro < 2.6.7.2 - Unauthenticated CSV Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección CSV no autenticada en el plugin Events Manager, afectando a versiones anteriores a 5.9.7.2 y Events Manager Pro anteriores a 2.6.7.2. Esta vulnerabilidad tiene una gravedad alta y un CVSS de 7.1.

Contexto técnico

La vulnerabilidad permite a un atacante no autenticado manipular archivos CSV generados por el plugin, lo que puede llevar a la ejecución de código malicioso o la exposición de datos sensibles. La superficie de ataque se centra en las funcionalidades del plugin relacionadas con la exportación de datos.

Impacto potencial

El impacto potencial incluye la posibilidad de que datos sensibles sean expuestos o que se ejecute código malicioso en el servidor, lo que podría comprometer la integridad y disponibilidad del sitio web. Esto podría resultar en pérdidas económicas y daños a la reputación de la empresa.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a las funciones de exportación del plugin, lo que les permite inyectar código malicioso en los archivos CSV generados sin necesidad de autenticación.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Events Manager a la versión 5.9.7.2 o superior y Events Manager Pro a la versión 2.6.7.2 o superior. Además, se sugiere revisar las configuraciones de seguridad del servidor y aplicar medidas de hardening en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen la detección de solicitudes inusuales en las funciones de exportación del plugin o la aparición de archivos CSV con contenido sospechoso en el servidor.

Alcance afectado

Las versiones afectadas son Events Manager anteriores a 5.9.7.2 y Events Manager Pro anteriores a 2.6.7.2.