La vulnerabilidad de inyección de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a través de la deserialización de datos no seguros del parámetro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota. En ciertas configuraciones, esto puede ser explotable por usuarios de nivel inferior. Confirmamos que este plugin instalado con Elementor permite a usuarios con acceso de nivel contribuidor y superior aprovechar este problema.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión disponible del plugin The Events Calendar Pro tan pronto como sea posible para mitigar el riesgo de exposición a esta vulnerabilidad. Además, se recomienda monitorear las actividades sospechosas en el sitio web y restringir el acceso a usuarios no autorizados. Adicionalmente, se sugiere implementar medidas de seguridad adicionales como firewalls y plugins de seguridad para WordPress para prevenir futuros ataques de este tipo.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles ataques que exploten esta vulnerabilidad en el plugin The Events Calendar Pro. La seguridad en línea es un aspecto fundamental en la administración de un sitio web, y estar al tanto de las últimas actualizaciones y parches de seguridad es fundamental para mantener la integridad y la protección de su sitio WordPress.