Recopilación de vulnerabilidades WordPress.

Events Manager – Calendar, Reservas, Entradas y más! <= 6.4.7.3 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de shortcodes de evento, ubicación y categoría de evento

El plugin Events Manager – Calendar, Reservas, Entradas y más! para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes ‘evento’, ‘ubicación’ y ‘categoría de evento’ en todas las versiones hasta, e incluyendo, la 6.4.7.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.

Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para subsanar este problema, los usuarios deben actualizar el plugin a la última versión disponible y revisar regularmente su sitio en busca de contenido no deseado.
Es crucial que los administradores de sitios WordPress se mantengan al tanto de las vulnerabilidades en plugins y temas populares, y tomen medidas proactivas para proteger sus sitios. Mantenerse actualizado con los parches de seguridad y realizar auditorías periódicas de seguridad puede ayudar a prevenir ataques exitosos de Cross-Site Scripting y otras amenazas.

Related Article