El plugin Booking for Appointments and Events Calendar – Amelia Premium y Lite para WordPress presenta una vulnerabilidad que permite el acceso no autorizado a datos sensibles debido a la falta de una verificación de capacidad en la función ‘ameliaButtonCommand’ en todas las versiones hasta, e incluyendo, Premium 7.7 y Lite 1.2.3. Esto hace posible que atacantes no autenticados accedan a los detalles del calendario de empleados, incluidos los tokens de Google Calendar OAuth en la versión premium.
Los usuarios afectados por esta vulnerabilidad deben actualizar sus plugins Booking for Appointments and Events Calendar – Amelia Premium y Lite a la versión corregida lo antes posible. Además, se recomienda limitar el acceso a la administración del WordPress a usuarios de confianza y utilizar medidas adicionales de seguridad, como el uso de firewalls y la monitorización de logs para detectar posibles intentos de acceso no autorizado.
Ante la exposición de información sensible por falta de autorización en el plugin Booking for Appointments and Events Calendar – Amelia, es fundamental tomar medidas proactivas para proteger la integridad y privacidad de los datos almacenados en el sitio web de WordPress.