El plugin Event Monster – Gestión de Eventos, Reserva de Entradas, Eventos Próximos para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.4.3 a través del archivo de Exportación de la Lista de Visitantes. Durante la exportación, se crea un archivo CSV en la carpeta wp-content con un nombre de archivo codificado que es accesible públicamente. Esto permite que atacantes no autenticados extraigan datos sobre los visitantes del evento, que incluyen nombres y apellidos, correo electrónico y número de teléfono.
Los usuarios afectados deben deshabilitar temporalmente la función de exportación de la lista de visitantes en el plugin Event Monster. Además, se recomienda ponerse en contacto con el desarrollador del plugin para informar sobre la vulnerabilidad y buscar una actualización que solucione este problema de seguridad. Mientras tanto, se recomienda a los usuarios afectados revisar la configuración de permisos de los archivos en la carpeta wp-content para limitar el acceso público a los archivos generados durante la exportación de la lista de visitantes.
Es fundamental para la seguridad de los datos sensibles de los visitantes del evento tomar medidas proactivas para proteger la información personal. La rápida desactivación de la función de exportación y la búsqueda de una actualización del plugin son acciones clave para mitigar el riesgo de exposición de información en el plugin Event Monster.