El plugin de WordPress Calendario de Reservas de Citas — Simplemente Programar Citas está vulnerable a Cross-Site Scripting Almacenado a través de la configuración de citas de administrador en todas las versiones hasta, e incluyendo, la 1.6.7.53 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha desactivado unfiltered_html.
Para subsanar este problema, los usuarios deberían actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda a los administradores del sitio que revisen y refuercen las medidas de seguridad en sus instalaciones, como restringir el acceso a roles de usuario con privilegios de administrador, vigilar de cerca cualquier actividad sospechosa en el sitio y mantener copias de seguridad regulares para poder restaurar el sitio en caso de un ataque exitoso de Cross-Site Scripting.
Es crucial mantener todos los plugins y temas de WordPress actualizados para proteger tu sitio contra vulnerabilidades conocidas. La seguridad de tu sitio web es responsabilidad de todos los involucrados, por lo que es importante tomar medidas proactivas para garantizar su protección.