El plugin WP Booking Calendar para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 10.6 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel administrador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html. Además, los administradores del sitio tienen la opción de otorgar a los usuarios de nivel inferior acceso para administrar la configuración del plugin, lo que puede extender esta vulnerabilidad a esos usuarios.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios de WP Booking Calendar actualizar el plugin a la última versión disponible. Además, se aconseja a los administradores del sitio que controlen de cerca las configuraciones de usuario y limiten el acceso de los roles de usuario a las funciones del plugin. También es importante educar a los usuarios sobre los riesgos de seguridad del Cross-Site Scripting y la importancia de no hacer clic en enlaces o abrir archivos adjuntos de fuentes desconocidas.
Es fundamental para la seguridad de su sitio web mantener todos los plugins y temas de WordPress actualizados, así como implementar prácticas sólidas de seguridad de la información para protegerse contra vulnerabilidades conocidas y futuras.