Plataforma
wordpress
Componente
the-events-calendar
Corregido en
6.15.18
La vulnerabilidad CVE-2026-3585 es un fallo de Recorrido de Directorio (Path Traversal) presente en el plugin The Events Calendar para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Autor o superiores, leer el contenido de archivos arbitrarios en el servidor. La vulnerabilidad afecta a todas las versiones hasta la 6.15.17, y se encuentra solucionada en la versión 6.15.17.1.
Un atacante que explote esta vulnerabilidad puede acceder a archivos sensibles almacenados en el servidor web, como archivos de configuración, contraseñas, claves de API, o incluso código fuente. El acceso a estos archivos podría permitir al atacante obtener información confidencial, comprometer la seguridad del sitio web, o incluso ejecutar código malicioso en el servidor. La capacidad de leer archivos arbitrarios representa un riesgo significativo para la confidencialidad e integridad de los datos. Aunque requiere autenticación, la facilidad de obtener privilegios de Autor en muchos sitios WordPress hace que esta vulnerabilidad sea particularmente preocupante.
La vulnerabilidad fue publicada el 10 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. El nivel de probabilidad de explotación se considera medio, dado que requiere autenticación pero la facilidad de obtener privilegios de Autor en muchos sitios WordPress. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.
• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.
wp plugin list --status=active | grep 'The Events Calendar'• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.
grep 'ajax_create_import' /var/log/apache2/access.log• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.
find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3585 es actualizar el plugin The Events Calendar a la versión 6.15.17.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio raíz del sitio web. También se recomienda revisar los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique la integridad del sitio web y los archivos críticos para confirmar que la vulnerabilidad ha sido resuelta.
Actualizar a la versión 6.15.17.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3585 is a vulnerability in The Events Calendar WordPress plugin allowing authenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
If you are using The Events Calendar plugin in WordPress versions 0.0.0 through 6.15.17, you are potentially affected by this vulnerability.
Upgrade The Events Calendar plugin to version 6.15.17.1 or later to resolve this vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability’s nature makes it likely that exploitation will occur once a PoC is available.
Refer to the official The Events Calendar website and WordPress security announcements for the latest information and advisory regarding CVE-2026-3585.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.