El plugin EventON – Plugin de Calendario Virtual de Eventos para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 4.5.4 (Pro) & 2.2.8 (Free). Esto se debe a una validación de nonce faltante o incorrecta en la función save_virtual_event_settings. Esto permite a atacantes no autenticados modificar la configuración de eventos virtuales a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
El plugin EventON – Plugin de Calendario Virtual de Eventos para WordPress es una herramienta popular utilizada para gestionar eventos en el sitio web de WordPress. Sin embargo, la falta de validación adecuada en la función save_virtual_event_settings puede permitir a un atacante sin autenticar realizar una solicitud falsificada y modificar la configuración de eventos virtuales sin el conocimiento del administrador del sitio.
La Cross-Site Request Forgery (CSRF) es una vulnerabilidad que permite a un atacante forzar a un usuario autenticado a realizar acciones no deseadas sin su conocimiento o consentimiento. En este caso, un atacante puede aprovechar esta vulnerabilidad para modificar la configuración de eventos virtuales en el sitio web objetivo.
Para subsanar este problema, se recomienda actualizar el plugin EventON a la última versión disponible, ya que los desarrolladores han solucionado este problema en versiones posteriores a 4.5.4 (Pro) y 2.2.8 (Free). Además, los administradores del sitio deben tener cuidado al hacer clic en enlaces sospechosos o no verificados, especialmente si provienen de fuentes no confiables.
La falta de validación adecuada en la función save_virtual_event_settings del plugin EventON – Plugin de Calendario Virtual de Eventos para WordPress crea una vulnerabilidad de Cross-Site Request Forgery (CSRF). Sin embargo, los usuarios pueden protegerse actualizando el plugin a la última versión disponible y teniendo precaución al hacer clic en enlaces sospechosos. Al tomar estas medidas, los administradores del sitio pueden mitigar el riesgo de ser víctimas de este tipo de ataque.