El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros em_ticket_category_data y em_ticket_individual_data en todas las versiones hasta, e incluyendo, la 4.0.5.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario administrativo acceda a una página inyectada.
Esta vulnerabilidad se aprovecha de la falta de sanitización de entrada en los parámetros mencionados, lo que permite a un atacante introducir código malicioso en la base de datos de WordPress. Para solucionar este problema, se recomienda a los usuarios deshabilitar la opción de ‘Envíos de Invitados’ en la configuración del plugin EventPrime y actualizar a la última versión disponible que contenga un parche de seguridad para corregir esta vulnerabilidad.
Mantener los plugins de WordPress actualizados y revisar las configuraciones de seguridad para mitigar riesgos de seguridad como el Cross-Site Scripting es fundamental para proteger tu sitio web.