El plugin Online Booking & Scheduling Calendar for WordPress by vcita es vulnerable a un ataque de Cross-Site Scripting almacenado a través del parámetro ‘wp_id’ en todas las versiones hasta, e incluyendo, la 4.4.2 debido a la falta de verificaciones de autorización en la función processAction, así como a una sanitización insuficiente de la entrada y un escape inadecuado de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda al panel de control de wp-admin.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso la versión 4.4.3, que corrige este problema de seguridad. También se recomienda limitar el acceso al panel de administración de WordPress solo a usuarios autorizados y mantener todas las aplicaciones y plugins actualizados para mitigar posibles vulnerabilidades. Además, se puede implementar un sistema de monitorización de seguridad para detectar y prevenir futuros ataques de este tipo.
Es crucial que los propietarios de sitios web que utilizan el plugin Appointment Booking and Online Scheduling verifiquen y apliquen las actualizaciones de seguridad pertinentes para protegerse contra este tipo de ataques de Cross-Site Scripting. La prevención y la vigilancia constante son fundamentales para mantener la seguridad de un sitio WordPress.