CVE-2026-13039 in Eventin Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 Eventin – 이벤트 캘린더, 등록, 티켓 및 예약(AI 기반) 플러그인은 4.0.26부터 4.1.15(포함) 버전까지 회귀(regression)로 인해 권한 우회(authorization bypass) 취약점이 존재합니다. 이는 PaymentController.php의 payment_complete() 함수에서 사용자의 작업 수행 권한을 적절히 검증하지 않기 때문입니다. 이로 인해 인증되지 않은 공격자가 위조된 SureCart 체크아웃 ID 또는 FluentCart 장바구니 해시를 제출하여 미결제 티켓 주문을 완료 상태로 표시할 수 있으며, 실제 결제 없이 유료 이벤트 접근 권한, QR 코드 참석자 티켓 및 주문 확인 이메일을 받을 수 있습니다. 취약한 엔드포인트에 도달하는 데 필요한 wp_rest nonce는 모든 공개 이벤트 페이지에 포함되어 있으므로 이를 획득하기 위해 WordPress 세션이나 자격 증명이 필요하지 않습니다. 이 취약점은 회귀성 문제입니다. 동일한 함수와 엔드포인트가 이전에 패치되었지만, 해당 수정 사항이 이후 릴리스에서 유지되지 않았습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 06. 23.

모더레이션

수락

항목

VDB-377619

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!