En este artículo, se discutirá una vulnerabilidad de autorización que afecta al plugin EventON – WordPress Virtual Event Calendar. Esta vulnerabilidad permite a atacantes no autenticados modificar y eliminar metadatos de publicaciones arbitrarias en WordPress. A continuación, se describirán los detalles de esta vulnerabilidad y las posibles soluciones para subsanarla.
La vulnerabilidad se encuentra en la función evo_eventpost_update_meta del plugin EventON – WordPress Virtual Event Calendar. Por no realizar una verificación de capacidad, los atacantes no autenticados pueden modificar y eliminar metadatos de publicaciones arbitrarias. Esto puede llevar a una pérdida de datos y una posible inyección de contenido en el sitio web afectado.
Para subsanar esta vulnerabilidad, se recomienda actualizar el plugin EventON a la versión más reciente. Además, los administradores pueden implementar medidas adicionales de seguridad, como restringir el acceso al panel de administración a usuarios confiables y utilizar plugins de seguridad para detectar y prevenir posibles ataques.
Es importante tomar en cuenta que esta vulnerabilidad afecta a todas las versiones anteriores a la 4.5.4 (para la versión Pro) y 2.2.7 (para la versión gratuita) del plugin EventON – WordPress Virtual Event Calendar.
La vulnerabilidad de autorización faltante en el plugin EventON – WordPress Virtual Event Calendar puede ser explotada por atacantes no autenticados para modificar y eliminar metadatos de publicaciones en un sitio web WordPress. Actualizar el plugin a la versión más reciente y tomar medidas adicionales de seguridad son recomendaciones clave para protegerse contra esta vulnerabilidad.