Plugin The Events Calendar para WordPress - Vulnerabilidades
VSA24-01086Desde el CSIRT de Gobierno informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.
El plugin The Events Calendar para WordPress es vulnerable a una inyección SQL a través del parámetro 'order' de la función 'tribe_has_next_event' en todas las versiones hasta la 6.6.4, inclusive. Esto se debe a la falta de un escape adecuado en el parámetro proporcionado por el usuario y a una preparación insuficiente en la consulta SQL existente. Esto permite que atacantes no autenticados puedan agregar consultas SQL adicionales a las consultas ya existentes, lo que puede ser utilizado para extraer información sensible de la base de datos. Solo los sitios que hayan añadido manualmente la función tribe_has_next_event() serán vulnerables a esta inyección SQL.
Vulnerabilidades
ID | CVSS | EPSS |
---|---|---|
CVE-2024-8275 | 9,8 | 0,07% |
Versiones Afectadas
Producto | Versiones |
---|---|
Plugin The Events Calendar para WordPress |
|
Mitigación
El fabricante recomienda actualizar el plugin a la versión "6.6.4.1"