The Eventin – Event Manager, Events Calendar, Event Tickets and Registrations plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'post_settings' function in all versions up to, and including, 4.0.51. This makes it possible for unauthenticated attackers to modify plugin settings. Furthermore, due to insufficient input sanitization and output escaping on the 'etn_primary_color' setting, this enables unauthenticated attackers to inject arbitrary web scripts that will execute whenever a user accesses a page where Eventin styles are loaded.
The Eventin Event Manager plugin for WordPress versions up to 4.0.51 contains a critical vulnerability allowing unauthenticated attackers to modify plugin settings due to missing capability checks. Additionally, insufficient input sanitization enables stored cross-site scripting (XSS) attacks through the color settings parameter, affecting all users accessing pages with Eventin styles.
تعاني إضافة Eventin لإدارة الفعاليات في ووردبريس من ثغرة أمنية خطيرة ناتجة عن غياب فحص الصلاحيات في دالة 'post_settings'، مما يسمح للمهاجمين غير المصادق عليهم بتعديل إعدادات الإضافة بشكل كامل. تتفاقم خطورة الثغرة بسبب عدم وجود تنقية كافية للمدخلات في معامل 'etn_primary_color'، مما يمكّن المهاجمين من حقن أكواد جافاسكريبت ضارة يتم تنفيذها تلقائياً عند تحميل أي صفحة تستخدم أنماط الإضافة. هذه الثغرة مصنفة تحت CWE-862 وتحمل درجة خطورة 7.2 على مقياس CVSS، وتؤثر على جميع الإصدارات حتى 4.0.51، مما يشكل تهديداً مباشراً لسلامة المواقع الإلكترونية وبيانات المستخدمين.
تحتوي إضافة Eventin Event Manager لووردبريس حتى الإصدار 4.0.51 على ثغرة حرجة تسمح للمهاجمين غير المصرح لهم بتعديل إعدادات الإضافة بسبب غياب فحوصات الصلاحيات. بالإضافة إلى ذلك، يتيح عدم كفاية تنقية المدخلات هجمات حقن النصوص البرمجية المخزنة عبر معامل إعدادات الألوان، مما يؤثر على جميع المستخدمين الذين يصلون إلى الصفحات التي تحتوي على أنماط Eventin.
1. Immediately update Eventin plugin to version 4.0.52 or later if available, or disable and remove the plugin until a security patch is released by the vendor
2. Implement Web Application Firewall (WAF) rules to block unauthorized access to the 'post_settings' function and sanitize all color parameter inputs to prevent XSS injection
3. Conduct comprehensive security audit of all WordPress installations, review plugin settings for unauthorized modifications, scan for injected malicious scripts, and implement principle of least privilege for all plugin configurations
1. تحديث إضافة Eventin فوراً إلى الإصدار 4.0.52 أو أحدث إن كان متاحاً، أو تعطيل وإزالة الإضافة حتى صدور تحديث أمني من المطور
2. تطبيق قواعد جدار حماية تطبيقات الويب لحظر الوصول غير المصرح به إلى دالة 'post_settings' وتنقية جميع مدخلات معاملات الألوان لمنع حقن النصوص البرمجية الضارة
3. إجراء مراجعة أمنية شاملة لجميع تثبيتات ووردبريس، ومراجعة إعدادات الإضافات للكشف عن التعديلات غير المصرح بها، والبحث عن النصوص البرمجية الضارة المحقونة، وتطبيق مبدأ الصلاحيات الأقل امتيازاً لجميع إعدادات الإضافات