← volver
CVE-2023-3219

EventON < 2.1.2 - Unauthenticated Post Access via IDOR

EPSS 6.1%
The EventON WordPress plugin before 2.1.2 does not validate that the event_id parameter in its eventon_ics_download ajax action is a valid Event, allowing unauthenticated visitors to access any Post (including unpublished or protected posts) content via the ics export functionality by providing the numeric id of the post.
Productos afectados
Unknown · EventON
PoCs públicas encontradas3
cve_referencepacketstormsecurity.com/files/173992/WordPress-EventON-Calendar-4.4-Insecure-Direct-Object-Reference.htmlno verificadocve_referencewpscan.com/vulnerability/72d80887-0270-4987-9739-95b1a178c1fdno verificadoexploitdbwww.exploit-db.com/exploits/51659no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/173992/WordPress-EventON-Calendar-4.4-Insecure-Direct-Object-Reference.htmlhttps://wpscan.com/vulnerability/72d80887-0270-4987-9739-95b1a178c1fd