Platform
wordpress
Component
the-events-calendar
Opgelost in
6.15.18
CVE-2026-3585 beschrijft een Arbitrary File Access kwetsbaarheid in de The Events Calendar plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, mogelijk met gevoelige informatie. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 6.15.17. Een patch is beschikbaar in versie 6.15.17.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop de WordPress-site draait. Dit kan configuratiebestanden, database credentials, API keys, of andere vertrouwelijke gegevens omvatten. De impact is aanzienlijk, omdat een aanvaller de gelezen informatie kan gebruiken om verdere acties uit te voeren, zoals het compromitteren van de database, het uitvoeren van code op de server, of het verkrijgen van toegang tot andere systemen binnen het netwerk. De kwetsbaarheid vereist wel dat de aanvaller geauthenticeerd is met Author-level toegang of hoger binnen WordPress.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-03-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is inherent ernstig vanwege de mogelijkheid om willekeurige bestanden te lezen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.
• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.
wp plugin list --status=active | grep 'The Events Calendar'• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.
grep 'ajax_create_import' /var/log/apache2/access.log• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.
find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de The Events Calendar plugin naar versie 6.15.17.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van WordPress gebruikers om de impact te verminderen. Het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren kan ook helpen. Controleer de WordPress access logs op verdachte patronen die wijzen op pogingen tot bestandstoegang buiten de verwachte directories.
Update naar versie 6.15.17.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3585 is a vulnerability in The Events Calendar WordPress plugin allowing authenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
If you are using The Events Calendar plugin in WordPress versions 0.0.0 through 6.15.17, you are potentially affected by this vulnerability.
Upgrade The Events Calendar plugin to version 6.15.17.1 or later to resolve this vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability’s nature makes it likely that exploitation will occur once a PoC is available.
Refer to the official The Events Calendar website and WordPress security announcements for the latest information and advisory regarding CVE-2026-3585.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.