En este artículo se aborda una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin EventON – Calendario de eventos virtuales de WordPress. Se han identificado versiones afectadas hasta la 4.5.4 (Pro) y la 2.2.7 (Free).
El plugin EventON – Calendario de eventos virtuales de WordPress presenta una falla de validación de identificador único (nonce) en la función evo_eventpost_update_meta. Como consecuencia, los atacantes no autenticados pueden actualizar metadatos de publicaciones arbitrarias mediante una solicitud falsificada, siempre y cuando logren engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace malicioso.
Para subsanar esta vulnerabilidad, recomendamos a los usuarios actualizar a la última versión del plugin, la cual soluciona el problema de validación de nonce. Es fundamental mantener todos los plugins de WordPress actualizados regularmente para evitar riesgos de seguridad.
Asimismo, se recomienda a los administradores del sitio implementar medidas adicionales de seguridad, como el uso de plugins de seguridad, la restricción de acceso a archivos y directorios sensibles, y la aplicación de prácticas recomendadas de seguridad de WordPress.
La vulnerabilidad de Cross-Site Request Forgery en EventON – Plugin de calendario de eventos virtuales de WordPress puede ser explotada por atacantes para actualizar metadatos de publicaciones de forma no autorizada. Los usuarios deben actualizar el plugin a la última versión disponible y seguir buenas prácticas de seguridad para proteger sus sitios web de posibles ataques.