CVE-2026-13039 in Eventin Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das Plugin „Eventin – Event Calendar, Event Registration, Tickets & Booking (AI Powered)" für WordPress ist anfällig für eine Umgehung der Autorisierung aufgrund einer Regression in den Versionen von 4.0.26 bis einschließlich 4.1.15. Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer autorisiert ist, die Aktion in der Funktion `payment_complete()` von `PaymentController.php` auszuführen. Dadurch können unberechtigte Angreifer unbezahlte Ticketbestellungen als abgeschlossen markieren, indem sie eine gefälschte SureCart-Checkout-ID oder einen FluentCart-Warenkorb-Hash übermitteln, wodurch ihnen Zugang zu kostenpflichtigen Veranstaltungen, QR-Code-Teilnehmertickets und Bestellbestätigungs-E-Mails gewährt wird, ohne dass eine tatsächliche Zahlung erfolgt. Der für den Zugriff auf die anfällige Endpunkt erforderliche `wp_rest` Nonce ist in jeder öffentlichen Veranstaltungsseite eingebettet, sodass keine WordPress-Sitzung oder Anmeldeinformationen erforderlich sind, um ihn zu erhalten. Diese Schwachstelle stellt eine Regression dar – dieselbe Funktion und derselbe Endpunkt wurden zuvor gepatcht, aber die Korrektur hielt sich nicht durch nachfolgende Releases hindurch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

23.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377619

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!