CVE-2026-13039 in Eventin Plugininformación

Resumen

por VulDB • 2026-07-10

El plugin para WordPress Eventin – Event Calendar, Event Registration, Tickets & Booking (AI Powered) es vulnerable a un bypass de autorización debido a una regresión en las versiones desde la 4.0.26 hasta la 4.1.15 inclusive. Esto se debe a que el plugin no verifica correctamente si un usuario está autorizado para realizar una acción en la función payment_complete() del archivo PaymentController.php. Esto permite que atacantes no autenticados marquen pedidos de entradas sin pagar como completados, presentando un ID de pago (checkout ID) fabricado de SureCart o un hash de carrito de FluentCart, lo que les otorga acceso a eventos pagados, tickets QR para asistentes y correos electrónicos de confirmación del pedido sin realizar ningún pago real. El wp_rest nonce necesario para acceder al punto final vulnerable está incrustado en cada página pública de evento, por lo que no se requiere ninguna sesión ni credenciales de WordPress para obtenerlo. Esta vulnerabilidad representa una regresión: la misma función y el mismo endpoint fueron parcheados anteriormente, pero la corrección no persistió a través de las versiones posteriores.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-06-23

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377619

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!