Plugin The Events Calendar para WordPress - Vulnerabilidades

VSA24-01086

Desde el CSIRT de Gobierno informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.

Preview VSA24-01086

El plugin The Events Calendar para WordPress es vulnerable a una inyección SQL a través del parámetro 'order' de la función 'tribe_has_next_event' en todas las versiones hasta la 6.6.4, inclusive. Esto se debe a la falta de un escape adecuado en el parámetro proporcionado por el usuario y a una preparación insuficiente en la consulta SQL existente. Esto permite que atacantes no autenticados puedan agregar consultas SQL adicionales a las consultas ya existentes, lo que puede ser utilizado para extraer información sensible de la base de datos. Solo los sitios que hayan añadido manualmente la función tribe_has_next_event() serán vulnerables a esta inyección SQL.

Vulnerabilidades

Versiones Afectadas

Mitigación

El fabricante recomienda actualizar el plugin a la versión "6.6.4.1"