La vulnerabilidad CVE-2024-6883, conocida como ‘Missing Authorization’, pone en riesgo la seguridad del plugin Event Espresso 4 Decaf en WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Suscriptor o superior modificar ajustes del plugin sin autorización.
El plugin Event Espresso 4 Decaf – Event Registration Event Ticketing en WordPress es vulnerable a la modificación limitada no autorizada de ajustes del plugin debido a la falta de comprobación de capacidad en las funciones saveTimezoneString y algunas otras en todas las versiones hasta, e incluyendo, la 5.0.22.decaf. Esto hace posible que atacantes autenticados, con acceso de Suscriptor o superior, modifiquen algunos de los ajustes del plugin.
Es crucial que los usuarios actualicen el plugin Event Espresso 4 Decaf a la versión más reciente para mitigar este riesgo de seguridad. Además, se recomienda revisar y restringir los niveles de acceso de los usuarios para evitar posibles ataques.