CVE-2025-12192

Nome do Software Vulnerável e Versões Afetadas Plugin The Events Calendar para WordPress versões até a 6.15.9

Descrição O plugin The Events Calendar para WordPress apresenta uma falha de divulgação de informações. O endpoint REST sysinfo realiza uma comparação fraca entre a chave fornecida e a chave de opt-in armazenada. Isso permite que atacantes não autenticados obtenham o relatório completo do sistema quando a configuração "Sim, compartilhar automaticamente minhas informações do sistema com a equipe de suporte do The Events Calendar" estiver habilitada. O endpoint vulnerável é /sysinfo. O problema surge da comparação do parâmetro key.

Recomendações Versões anteriores à 6.15.9 são afetadas.