El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘offline_status’ en todas las versiones hasta, e incluyendo, la 3.4.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, los usuarios afectados deben actualizar a la última versión disponible del plugin (si está disponible) que contenga una solución a esta vulnerabilidad. Además, se recomienda a los usuarios restringir el acceso al plugin solo a usuarios autorizados y monitorizar de cerca cualquier actividad sospechosa en su sitio web para detectar posibles intentos de explotación de esta vulnerabilidad.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en plugins populares como EventPrime y tomen medidas proactivas para proteger sus sitios contra posibles ataques de Cross-Site Scripting.