Vulnerabilidad en The Events Calendar (CVE-2026-2694)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
25/02/2026
Última modificación:
25/02/2026
Descripción
El plugin The Events Calendar para WordPress es vulnerable a la modificación no autorizada de datos y a la pérdida de datos debido a una verificación de capacidad inadecuada en la función 'can_edit' y 'can_delete' en todas las versiones hasta la 6.15.16, inclusive. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, actualizar o enviar a la papelera eventos, organizadores y ubicaciones a través de la API REST.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/the-events-calendar/tags/6.15.16/src/Tribe/REST/V1/Endpoints/Single_Event.php#L498
- https://plugins.trac.wordpress.org/browser/the-events-calendar/tags/6.15.16/src/Tribe/REST/V1/Endpoints/Single_Event.php#L563
- https://plugins.trac.wordpress.org/browser/the-events-calendar/tags/6.15.16/src/Tribe/REST/V1/Endpoints/Single_Venue.php#L529
- https://plugins.trac.wordpress.org/browser/the-events-calendar/tags/6.15.16/src/Tribe/REST/V1/Endpoints/Single_Venue.php#L583
- https://plugins.trac.wordpress.org/changeset/3468694/the-events-calendar
- https://www.wordfence.com/threat-intel/vulnerabilities/id/67351a37-a457-48d6-b40a-95a7e3a0d746?source=cve