Se ha descubierto una vulnerabilidad en el plugin de WordPress Online Booking and Scheduling – Bookly que podría permitir a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado a través del parámetro de perfil de color. Esta vulnerabilidad afecta a todas las versiones hasta la 23.2 del plugin.
El plugin WordPress Online Booking and Scheduling – Bookly es vulnerable a Cross-Site Scripting almacenado a través del parámetro de perfil de color en todas las versiones hasta la 23.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con el rol de miembro del personal y acceso de nivel Subscriber y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios del plugin WordPress Online Booking and Scheduling – Bookly que actualicen a la última versión disponible lo antes posible. Además, se debe evitar hacer clic en enlaces sospechosos y mantener siempre actualizados todos los plugins y temas de WordPress para reducir el riesgo de exposición a este tipo de ataques.