El complemento Booking for Appointments and Events Calendar – Amelia para WordPress es vulnerable a Cross-Site Scripting de Almacenamiento a través de la configuración de administración en todas las versiones hasta, e incluyendo, 1.1.5 (y 7.5.1 para la versión Pro) debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada. Esto solo afecta a instalaciones multinivel e instalaciones donde se haya desactivado unfiltered_html.
Para mitigar este riesgo de seguridad, se recomienda a los usuarios de WordPress que utilicen el complemento Amelia que actualicen a la última versión disponible, donde se hayan corregido estas vulnerabilidades de Cross-Site Scripting de almacenamiento. También se sugiere restringir los permisos de administrador a usuarios confiables y realizar auditorías regulares de seguridad para identificar posibles problemas de seguridad en los complementos instalados.
Es crucial que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades de seguridad en complementos populares como Amelia y tomen medidas proactivas para proteger sus sitios y usuarios contra posibles explotaciones.