Vulnerabilidad en Events Made Easy de WordPress (CVE-2023-0404)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2023
Última modificación:
08/04/2026
Descripción
El complemento Events Made Easy de WordPress es vulnerable a la omisión de autorización debido a una falta de verificación de capacidad en varias funciones relacionadas con las acciones AJAX en versiones hasta la 2.3.16 incluida. Esto hace posible que los atacantes autenticados, con permisos de nivel de suscriptor y superiores, invoquen aquellas funciones destinadas al uso del administrador. Si bien el complemento aún está pendiente de revisión desde el repositorio de WordPress, los propietarios del sitio pueden descargar una copia de la versión parcheada directamente desde el Github del desarrollador en https://github.com/liedekef/events-made-easy
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:e-dynamics:events_made_easy:*:*:*:*:*:wordpress:*:* | 2.3.16 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=2836308%40events-made-easy&new=2836308%40events-made-easy
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5a9e62de-3e70-424f-b8e5-2a5f07ca182d?source=cve
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=2836308%40events-made-easy&new=2836308%40events-made-easy
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5a9e62de-3e70-424f-b8e5-2a5f07ca182d