Se ha identificado una seria vulnerabilidad de escalada de privilegios en el popular plugin Eventin para WordPress. Esta deficiencia de seguridad representa un riesgo significativo para más de 10.000 sitios web, ya que podría permitir su completa apropiación.
La vulnerabilidad, registrada bajo el código CVE-2025-47539, posibilita que atacantes no autenticados creen cuentas con permisos de administrador sin requerir ninguna acción por parte del usuario. Esto les otorgaría control total sobre los sitios web comprometidos.
Investigadores de seguridad recomiendan enfáticamente a los administradores de sitios web que realicen una actualización inmediata a la versión 4.0.27 del plugin. Esta versión incluye una solución para esta crítica falla de seguridad.
El plugin Eventin, desarrollado por Themewinter, es ampliamente utilizado en sitios de WordPress para gestionar diversas funcionalidades relacionadas con la administración de eventos.
Su amplia adopción en miles de sitios web hace que esta vulnerabilidad sea particularmente preocupante, ya que una explotación exitosa podría provocar la destrucción del sitio, el robo de datos, la inyección de malware o el uso de los sitios comprometidos en operaciones de botnets más grandes.
Los investigadores de Patchstack identificaron que la vulnerabilidad se debe a un punto final de la API REST mal protegido en el complemento Eventin que maneja las importaciones de altavoces.
La vulnerabilidad fue reportada inicialmente el 19 de abril de 2025, a través del programa de recompensas por errores Zero Day de Patchstack, por el investigador de seguridad Denver Jackson, quien recibió una recompensa de $600 dólares por el descubrimiento.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es su naturaleza no autenticada, ya que no requiere credenciales de inicio de sesión ni ingeniería social para explotarla.
Un atacante simplemente necesita enviar una solicitud especialmente diseñada al punto final vulnerable para crear una cuenta de nivel de administrador, después de lo cual puede acceder al panel de administración del sitio restableciendo la contraseña.
El análisis técnico revela que la vulnerabilidad existe en el punto final de la API REST /wp-json/eventin/v2/speakers/import.
El problema principal radica en la función import_item_permissions_check(), que se implementó para simplemente devolver verdadero sin realizar ninguna validación de permiso real:
public function import_item_permissions_check($request) {
return true;
}
Esta implementación permite que cualquier usuario no autenticado acceda al punto final. Combinado con la falta de validación de roles al procesar datos de usuarios importados, los atacantes podrían enviar un archivo CSV que contenga sus detalles con una especificación de rol de administrador:
$args = [
‘first_name’ => !empty($row[‘name’]) ? $row[‘name’] : »,
// Other user details…
‘role’ => !empty($row[‘role’]) ? $row[‘role’] : »,
];
Themewinter abordó la vulnerabilidad en la versión 4.0.27, lanzada el 30 de abril de 2025, implementando verificaciones de permisos adecuadas y restringiendo los roles permitidos durante las importaciones de usuarios:
public function import_item_permissions_check($request) {
return current_user_can(‘etn_manage_organizer’) || current_user_can(‘etn_manage_event’);
}
Se exhorta encarecidamente a los administradores de sitios WordPress que emplean el plugin Eventin a realizar la actualización a la versión 4.0.27 o una posterior de forma inmediata.
En aquellos casos donde la actualización no sea factible en este momento, se sugiere considerar la desactivación temporal del plugin hasta que las actualizaciones puedan ser implementadas. La naturaleza no autenticada de este exploit representa un riesgo particularmente elevado en entornos activos.
