{"id":4627,"date":"2024-08-29T18:25:14","date_gmt":"2024-08-29T18:25:14","guid":{"rendered":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/"},"modified":"2024-08-29T18:25:14","modified_gmt":"2024-08-29T18:25:14","slug":"the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/","title":{"rendered":"The Events Calendar Pro <= 7.0.2 – Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo"},"content":{"rendered":"
La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a trav\u00e9s de la deserializaci\u00f3n de datos no seguros del par\u00e1metro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar c\u00f3digo de forma remota. En ciertas configuraciones, esto puede ser explotable por usuarios de nivel inferior. Confirmamos que este plugin instalado con Elementor permite a usuarios con acceso de nivel contribuidor y superior aprovechar este problema.<\/div>\n

<\/p>\n

Los usuarios afectados por esta vulnerabilidad deben actualizar a la \u00faltima versi\u00f3n disponible del plugin The Events Calendar Pro tan pronto como sea posible para mitigar el riesgo de exposici\u00f3n a esta vulnerabilidad. Adem\u00e1s, se recomienda monitorear las actividades sospechosas en el sitio web y restringir el acceso a usuarios no autorizados. Adicionalmente, se sugiere implementar medidas de seguridad adicionales como firewalls y plugins de seguridad para WordPress para prevenir futuros ataques de este tipo.<\/div>\n
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles ataques que exploten esta vulnerabilidad en el plugin The Events Calendar Pro. La seguridad en l\u00ednea es un aspecto fundamental en la administraci\u00f3n de un sitio web, y estar al tanto de las \u00faltimas actualizaciones y parches de seguridad es fundamental para mantener la integridad y la protecci\u00f3n de su sitio WordPress.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a trav\u00e9s de la deserializaci\u00f3n de datos no seguros del par\u00e1metro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[2316],"class_list":["post-4627","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-8016"],"yoast_head":"\nThe Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"The Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a trav\u00e9s de la deserializaci\u00f3n de datos no seguros del par\u00e1metro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-08-29T18:25:14+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/\",\"url\":\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/\",\"name\":\"The Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-08-29T18:25:14+00:00\",\"dateModified\":\"2024-08-29T18:25:14+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"The Events Calendar Pro <= 7.0.2 – Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"The Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/","og_locale":"en_US","og_type":"article","og_title":"The Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es","og_description":"La vulnerabilidad de inyecci\u00f3n de objetos PHP en el plugin The Events Calendar Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 7.0.2 a trav\u00e9s de la deserializaci\u00f3n de datos no seguros del par\u00e1metro ‘filters’ en widgets. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, inyectar un objeto […]","og_url":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-08-29T18:25:14+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/","url":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/","name":"The Events Calendar Pro <= 7.0.2 - Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-08-29T18:25:14+00:00","dateModified":"2024-08-29T18:25:14+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/the-events-calendar-pro-7-0-2-inyeccion-de-objetos-php-autenticados-administrador-a-ejecucion-remota-de-codigo\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"The Events Calendar Pro <= 7.0.2 – Inyecci\u00f3n de Objetos PHP Autenticados (Administrador+) a Ejecuci\u00f3n Remota de C\u00f3digo"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/4627"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=4627"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/4627\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=4627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=4627"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=4627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}