Plataforma
wordpress
Componente
wp-event-solution
Corregido en
4.0.9
El plugin Eventin para WordPress, utilizado para la gestión de eventos, calendarios y entradas, presenta una vulnerabilidad de Inclusión de Archivos Locales (LFI). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos arbitrarios en el servidor. Las versiones afectadas son aquellas iguales o inferiores a 4.0.8. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La vulnerabilidad LFI en Eventin permite a un atacante autenticado con acceso de Contribuidor o superior, ejecutar código PHP arbitrario en el servidor. Esto se logra mediante la manipulación de parámetros de estilo, lo que permite incluir archivos maliciosos. El impacto potencial es significativo, incluyendo la posibilidad de obtener acceso no autorizado a datos sensibles, modificar la configuración del servidor, o incluso tomar el control completo del sitio web. Un atacante podría, por ejemplo, subir una imagen maliciosa y luego incluirla a través de la vulnerabilidad, ejecutando código PHP dentro de esa imagen. La ejecución de código arbitrario puede llevar a la exfiltración de información confidencial, la modificación de contenido, o la instalación de puertas traseras para acceso futuro.
Esta vulnerabilidad ha sido publicada públicamente el 27 de septiembre de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. Aunque no se han confirmado campañas de explotación activas, la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial para atacantes. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa.
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Estado del Exploit
EPSS
0.71% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-7149 es actualizar el plugin Eventin a la última versión disponible, que corrige la vulnerabilidad LFI. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan parámetros de estilo sospechosos. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura. Después de la actualización, verifique la integridad del plugin utilizando la función de verificación de integridad de WordPress.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7149 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 4.0.8 or earlier. Check your plugin version and upgrade as soon as a patch is available.
Upgrade the Eventin plugin to the latest version as soon as a patch is released by the vendor. Until then, restrict file upload permissions and implement input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests active exploitation is possible.
Check the Eventin plugin website and WordPress plugin repository for the official advisory and patch release.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.