Vulnerabilidad en plugin Eventin de arraytics (CVE-2025-14657)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/01/2026
Última modificación:
15/04/2026
Descripción
El plugin Eventin – Event Manager, Events Calendar, Event Tickets and Registrations para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidad en la función 'post_settings' en todas las versiones hasta la 4.0.51, inclusive. Esto hace posible que atacantes no autenticados modifiquen la configuración del plugin. Además, debido a una sanitización de entrada y un escape de salida insuficientes en la configuración 'etn_primary_color', esto permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a una página donde se carguen los estilos de Eventin.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3429942/wp-event-solution/trunk/base/Enqueue/register.php?old=3390273&old_path=wp-event-solution%2Ftrunk%2Fbase%2FEnqueue%2Fregister.php
- https://plugins.trac.wordpress.org/changeset/3429942/wp-event-solution/trunk/base/api-handler.php?old=3390273&old_path=wp-event-solution%2Ftrunk%2Fbase%2Fapi-handler.php
- https://plugins.trac.wordpress.org/changeset/3429942/wp-event-solution/trunk/core/event/api.php?old=3390273&old_path=wp-event-solution%2Ftrunk%2Fcore%2Fevent%2Fapi.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e4188b26-80f8-41b8-be19-1ddcbd7e39f5?source=cve