El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a enviar correos electrónicos no autorizados debido a la falta de una verificación de capacidad en la función ep_send_attendees_email() en todas las versiones hasta, e incluyendo, la 3.4.1. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, enviar correos electrónicos arbitrarios con contenido arbitrario desde el sitio.
Los usuarios que utilicen el plugin EventPrime – Calendario de Eventos, Reservas y Entradas versión 3.4.1 o anterior deben tomar medidas inmediatas para proteger su sitio. Se recomienda desactivar temporalmente el plugin hasta que se lance una actualización de seguridad que solucione este problema. Además, se aconseja a los usuarios afectados cambiar las contraseñas de las cuentas de suscriptores y roles superiores, así como realizar una auditoría de seguridad exhaustiva en busca de actividad no autorizada.
Es crucial que los propietarios de sitios web que utilicen el plugin EventPrime – Calendario de Eventos, Reservas y Entradas estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger su sitio y la información de sus usuarios. Mantener los plugins actualizados y realizar regularmente auditorías de seguridad puede ayudar a prevenir ataques y salvaguardar la integridad del sitio.