Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Modern Events Calendar para WordPress (CVE-2024-6522)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
07/08/2024
Última modificación:
01/03/2025

Descripción

El complemento Modern Events Calendar para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 7.12.1 incluida a través de la función AJAX 'mec_fes_form'. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultar y modificar información de servicios internos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:webnus:modern_events_calendar:*:*:*:*:*:wordpress:*:* 7.13.0 (excluyendo)
cpe:2.3:a:webnus:modern_events_calendar_lite:*:*:*:*:*:wordpress:*:* 7.13.0 (excluyendo)