El plugin Modern Events Calendar para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta, e incluyendo, la 7.12.1 a través de la función ‘mec_fes_form’ de AJAX. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede ser utilizado para consultar y modificar información de servicios internos.
La vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Modern Events Calendar <= 7.12.1 permite a atacantes autenticados realizar solicitudes web a ubicaciones arbitrarias, lo que puede comprometer la seguridad de las aplicaciones web que utilicen este plugin. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible. Además, se deben monitorear de cerca las solicitudes web que se realizan a través del plugin para detectar posibles actividades maliciosas.
Es crucial que los usuarios de Modern Events Calendar estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios web. Mantener el software actualizado y estar atentos a cualquier actividad sospechosa son pasos clave para mitigar el riesgo de explotación de SSRF en este plugin.