Se ha descubierto una vulnerabilidad en el plugin EventPrime – Calendario de Eventos, Reservas y Tickets para WordPress que permite eludir el pago de reservas en todas las versiones hasta, e incluyendo, la 3.4.2. Esto se debe a que el plugin permite a usuarios no autenticados actualizar el estado de los pagos de reservas. Esto hace posible que atacantes no autenticados reserven eventos de forma gratuita.
La vulnerabilidad identificada en el plugin EventPrime – Calendario de Eventos, Reservas y Tickets para WordPress (versiones anteriores a la 3.4.2) permite a usuarios no autenticados realizar reservas de eventos sin realizar el correspondiente pago. Los atacantes pueden explotar esta vulnerabilidad realizando reservas fraudulentas sin necesidad de autenticación, lo cual puede llevar a pérdidas financieras para el propietario del sitio web. Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible, la cual contiene un parche de seguridad que corrige esta vulnerabilidad. Asimismo, se sugiere restringir el acceso a funciones de reserva únicamente a usuarios autenticados para prevenir futuros ataques.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. En este caso, la actualización a la versión más reciente del plugin EventPrime – Calendario de Eventos, Reservas y Tickets es crucial para protegerse contra el bypass de pago de reservas no autenticado. Además, implementar medidas de seguridad que restrinjan el acceso a funciones sensibles a usuarios autenticados puede ayudar a prevenir este tipo de ataques en el futuro.