PT-2025-44592 · WordPress · The Events Calendar
Publicado
2025-10-31
·
Atualizado
2025-10-31
·
CVE-2025-12175
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin The Events Calendar para WordPress versões até a 6.15.9
Descrição
O plugin The Events Calendar para WordPress está suscetível a acesso não autorizado. A ausência de uma verificação de permissão no endpoint da API
tec qr code modal permite que atacantes autenticados com acesso de nível de Assinante ou superior visualizem nomes de eventos em rascunho e gerem ou visualizem códigos QR para esses eventos. O endpoint da API vulnerável é /tec qr code modal.Recomendações
Atualize o plugin The Events Calendar para uma versão posterior à 6.15.9.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Events Calendar