La vulnerabilidad CVE-2024-9504 permite a atacantes cargar archivos SVG maliciosos en el plugin Booking calendar, Sistema de Reserva de Citas para WordPress, lo que puede resultar en la ejecución de scripts no deseados en páginas web.
La versión 3.2.15 y anteriores de Booking calendar son vulnerables a un tipo específico de ataque de Cross-Site Scripting almacenado (Stored XSS) que se produce al subir archivos SVG sin restricciones. Esto se debe a la falta de una adecuada sanitización de la entrada y escape de la salida de datos, lo que permite a un atacante inyectar scripts web arbitrarios en las páginas y ejecutarlos cuando un usuario accede al archivo SVG.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Booking calendar a la última versión disponible y evitar subir archivos SVG u otros tipos de archivos peligrosos. Además, es fundamental mantener siempre actualizados todos los plugins y temas de WordPress para prevenir posibles ataques.