CVE-2021-24585

As versões do plugin Timetable and Event Schedule para WordPress anteriores à 2.4.0

A vulnerabilidade permite que usuários com privilégios limitados e com a capacidade edit posts recuperem dados confidenciais do usuário, incluindo senhas com hash, nomes de usuário e endereços de e-mail, solicitando dados de intervalos de tempo de eventos e iterando sobre o user id. Isso pode ser combinado com outra vulnerabilidade em que um ID de usuário arbitrário pode ser definido, permitindo potencialmente o acesso não autorizado a informações confidenciais.

Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 ou posterior para resolver o problema.

Como solução temporária, considere restringir a capacidade edit posts a usuários com privilégios elevados até que a atualização seja aplicada.

Restrinja o acesso aos dados de intervalos de tempo de eventos para minimizar o risco de exploração.