CVE-2024-11396

Nome do Software Vulnerável e Versões Afetadas Event Monster – Plugin de Gerenciamento de Eventos, Reserva de Ingressos, Próximos Eventos para WordPress, versões até e incluindo a 1.4.3

Descrição O problema envolve exposição de informações através do arquivo de Exportação da Lista de Visitantes. Durante a exportação, um arquivo CSV é criado na pasta wp-content com um nome de arquivo fixo que é publicamente acessível. Isso permite que atacantes não autenticados extraiam dados sobre visitantes do evento, incluindo nome, sobrenome, e-mail e número de telefone.

Recomendações Para versões até e incluindo a 1.4.3, considere desativar o recurso de Exportação da Lista de Visitantes até que um patch esteja disponível para prevenir acesso não autenticado a informações sensíveis dos visitantes. Restrinja o acesso à pasta wp-content para minimizar o risco de exploração. Evite utilizar o arquivo CSV publicamente acessível para armazenamento de dados sensíveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.