La vulnerabilidad CVE-2024-7877 ha sido descubierta en el plugin de WordPress Calendario de Reservas de Citas — Simply Schedule Appointments, permitiendo a atacantes autenticados con permisos de administrador o superiores inyectar scripts maliciosos en páginas web.
Se ha identificado que el plugin de Calendario de Reservas de Citas es vulnerable a Cross-Site Scripting almacenado a través de la configuración de notificaciones en todas las versiones hasta, e incluyendo, 1.6.7.53. La falta de saneamiento de la entrada y de escape de la salida permite a atacantes autenticados ejecutar scripts web arbitrarios en páginas que se activarán cada vez que un usuario acceda a dicha página. Esta vulnerabilidad afecta solo a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin de Calendario de Reservas de Citas a la última versión disponible, y mantener todos los plugins y temas de WordPress actualizados para reducir el riesgo de exploits de seguridad.