El complemento EventPrime – Calendario de eventos, Reservas y Entradas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de nombres de entradas en todas las versiones hasta, e incluyendo, la 4.0.4.7 debido a una insuficiente sanitización y escape de entrada. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo es explotable cuando los usuarios de front-end pueden enviar nuevos eventos con entradas.
Los usuarios afectados por esta vulnerabilidad en el complemento EventPrime deben asegurarse de que están utilizando la última versión disponible (si ya se ha lanzado una actualización que resuelve este problema). Además, se recomienda deshabilitar temporalmente la funcionalidad de permitir a los usuarios enviar eventos con entradas hasta que se publique una actualización de seguridad. Además, se debe monitorear de cerca la actividad del sitio en busca de posibles intrusiones o comportamientos sospechosos que puedan indicar una explotación de esta vulnerabilidad.
Es crucial tomar medidas inmediatas para proteger tu sitio web de posibles ataques a través de esta vulnerabilidad en el complemento EventPrime. Mantener tu software actualizado y seguir las mejores prácticas de seguridad puede ayudar a prevenir incidentes de seguridad futuros.