El plugin EventON para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la acción ‘eventon_import_settings’ ajax en todas las versiones hasta, e incluyendo, la 2.2.15. Esto permite que atacantes no autenticados actualicen las configuraciones del plugin, incluyendo la adición de cross-site scripting almacenado en las opciones de configuración mostradas en las páginas del calendario de eventos.
Para subsanar este problema, se recomienda a los usuarios de EventON que actualicen su plugin a la última versión disponible, en la que se haya parcheado esta vulnerabilidad. Además, se aconseja a los administradores de sitios web que restrinjan el acceso a la página de configuración del plugin solo a usuarios autorizados para evitar posibles modificaciones no autorizadas.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para proteger los sitios web de posibles vulnerabilidades. La falta de autorización en la acción ‘eventon_import_settings’ destaca la importancia de implementar buenas prácticas de seguridad en la configuración de plugins para evitar posibles ataques.