The The Events Calendar plugin for WordPress is vulnerable to Path Traversal in all versions up to, and including, 6.15.17 via the 'ajax_create_import' function. This makes it possible for authenticated attackers, with Author-level access and above, to read the contents of arbitrary files on the server, which can contain sensitive information.
The Events Calendar WordPress plugin versions up to 6.15.17 contains a path traversal vulnerability in the ajax_create_import function allowing authenticated authors to read arbitrary files. Attackers with author-level privileges can access sensitive server files containing confidential data.
ثغرة المسار المتجاوز (Path Traversal) في مكون The Events Calendar تسمح للمستخدمين المصرح لهم على مستوى المؤلف بتجاوز قيود الملفات والوصول إلى ملفات عشوائية على الخادم. يمكن استخدام هذه الثغرة لقراءة ملفات حساسة تحتوي على بيانات المستخدمين وبيانات الاعتماد وغيرها من المعلومات السرية.
يحتوي مكون The Events Calendar لـ WordPress في الإصدارات حتى 6.15.17 على ثغرة traversal في دالة ajax_create_import تسمح للمؤلفين المصرح لهم بقراءة ملفات عشوائية. يمكن للمهاجمين الذين لديهم امتيازات على مستوى المؤلف الوصول إلى ملفات الخادم الحساسة التي تحتوي على بيانات سرية.
Update The Events Calendar plugin to version 6.15.18 or later immediately. Restrict author-level access to trusted users only. Implement file access controls and monitor file read operations. Review server logs for unauthorized file access attempts.
قم بتحديث مكون The Events Calendar إلى الإصدار 6.15.18 أو أحدث فوراً. قيد الوصول على مستوى المؤلف للمستخدمين الموثوقين فقط. طبق عناصر تحكم الوصول إلى الملفات ومراقبة عمليات قراءة الملفات. راجع سجلات الخادم لمحاولات الوصول غير المصرح بها.