El plugin Event Manager, Events Calendar, Tickets, Registrations – Eventin para WordPress es vulnerable a Inclusión de Archivos Local en todas las versiones hasta la 4.0.8 a través de múltiples parámetros de estilo. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
La vulnerabilidad CVE-2024-7149 se debe a una Limitación Inadecuada de una Ruta de Directorio Restringida (‘Traversing de Rutas’). Esto puede ser explotado por atacantes autenticados para incluir archivos locales y llevar a cabo acciones malintencionadas en el servidor. Para mitigar este problema, se recomienda actualizar el plugin Eventin a la última versión disponible, así como monitorear y restringir los permisos de los usuarios en el sitio web para evitar posibles ataques de inclusión de archivos locales.
Es fundamental mantener actualizados todos los plugins de WordPress para evitar posibles vulnerabilidades de seguridad, como la Inclusión de Archivos Local en el plugin Eventin. La seguridad de un sitio web depende en gran medida de la revisión constante y la aplicación de medidas preventivas adecuadas.