El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función save_frontend_event_submission() en todas las versiones hasta, e incluyendo, la 3.4.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, sobrescribir el título y contenido de publicaciones arbitrarias. Esto también puede ser explotado por atacantes no autenticados cuando se habilita la configuración allow_submission_by_anonymous_user.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin EventPrime a la última versión disponible, en la cual se haya corregido esta vulnerabilidad. Además, se sugiere restringir el acceso a usuarios autenticados confiables y deshabilitar la capacitación para enviar eventos por usuarios anónimos, si no es absolutamente necesario.
Es crucial mantenerse al día con las actualizaciones de seguridad y adoptar buenas prácticas de seguridad para proteger su sitio web de posibles ataques. La falta de una adecuada autorización puede conducir a la manipulación de datos sensibles sin el conocimiento del propietario del sitio, lo que subraya la importancia de tomar medidas proactivas para garantizar la seguridad de su WordPress.