The Events Calendar <= 6.15.17 - Leitura Arbitrária de Arquivos (Autor+) Autenticada via ajax_create_import

Um atacante que explore com sucesso a vulnerabilidade CVE-2026-3585 pode obter acesso não autorizado a arquivos no servidor WordPress. Isso pode incluir arquivos de configuração, arquivos de log, ou até mesmo código-fonte do aplicativo. A leitura desses arquivos pode revelar informações sensíveis, como credenciais de banco de dados, chaves de API, ou informações pessoais de usuários. O impacto potencial é alto, pois a exposição de tais dados pode levar a comprometimento do sistema, roubo de dados, ou até mesmo execução remota de código, dependendo do conteúdo dos arquivos acessados. A necessidade de acesso de Autor limita o escopo, mas ainda representa um risco significativo em ambientes onde essa permissão é concedida amplamente.

WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.

• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.

wp plugin list --status=active | grep 'The Events Calendar'

• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.

grep 'ajax_create_import' /var/log/apache2/access.log

• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.

find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7

1. 2026-03-10Disclosure

   disclosure

1. Reservado2026-03-05
2. Publicada2026-03-10
3. Modificada2026-04-08
4. EPSS atualizado2026-03-23

A mitigação primária para CVE-2026-3585 é atualizar o plugin The Events Calendar para a versão 6.15.17.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função 'ajaxcreateimport' através de regras de firewall de aplicação web (WAF) ou proxies reverso, bloqueando solicitações que contenham caracteres de path traversal (../). Monitore os logs do servidor em busca de tentativas de acesso a arquivos inesperados, especialmente aquelas que incluem sequências como '../'. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um arquivo que não deveria ser acessível através da função 'ajaxcreateimport'.

Instalações ativas

700KPopular

Avaliação do plugin