The Events Calendar <= 6.15.17 - Lecture Arbitraire de Fichiers (Author+) Authentifiée via ajax_create_import

L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'accéder à des fichiers sensibles sur le serveur WordPress. Cela pourrait inclure des fichiers de configuration contenant des informations d'identification de base de données, des clés API, ou d'autres données confidentielles. L'attaquant pourrait également accéder à des fichiers contenant du code source, révélant ainsi des informations sur l'architecture de l'application et d'autres vulnérabilités potentielles. Bien que l'accès soit limité aux utilisateurs authentifiés avec un niveau d'auteur ou supérieur, cela représente un risque significatif pour les sites WordPress où les comptes d'auteur sont nombreux ou mal protégés. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'exfiltration de données sensibles sur des serveurs web.

WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.

• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.

wp plugin list --status=active | grep 'The Events Calendar'

• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.

grep 'ajax_create_import' /var/log/apache2/access.log

• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.

find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7

1. 2026-03-10Disclosure

   disclosure

1. Réservé2026-03-05
2. Publiée2026-03-10
3. Modifiée2026-04-08
4. EPSS mis à jour2026-03-23

La mitigation principale consiste à mettre à jour le plugin The Events Calendar vers la version 6.15.17.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire d'installation du plugin via les permissions du serveur. En outre, une configuration stricte du serveur web, incluant la désactivation de l'exécution de scripts dans les répertoires de téléchargement, peut réduire le risque. Il n'existe pas de signature Sigma ou YARA spécifique pour cette vulnérabilité, mais surveillez les tentatives d'accès à des fichiers en dehors du répertoire du plugin via les journaux d'accès du serveur web. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été compromis.

Installations actives

700KPopulaire

Note du plugin