El plugin EventPrime – Calendario de eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los campos ‘ep_booking_attendee_fields’ en todas las versiones hasta, e incluyendo, 4.0.4.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al registro de transacciones de una reserva.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible que soluciona este problema. Además, se recomienda limitar el acceso al registro de transacciones de las reservas solo a usuarios autenticados para reducir el riesgo de ataques de Cross-Site Scripting almacenado. También es importante mantener un monitoreo constante de la seguridad del sitio web y estar atento a posibles signos de actividad maliciosa.
Es crucial que los administradores de sitios web que utilicen el plugin EventPrime – Calendario de eventos, Reservas y Entradas tomen medidas inmediatas para proteger sus sitios de posibles ataques de Cross-Site Scripting almacenado. La actualización del plugin y la implementación de medidas de seguridad adicionales son pasos clave para mitigar esta vulnerabilidad.