Se ha descubierto una vulnerabilidad de Cross-Site Scripting en el plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 3.1.43 y permite a atacantes autenticados inyectar scripts web maliciosos en las páginas del sitio.
La vulnerabilidad se debe a la falta de saneamiento de la entrada de usuario y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web arbitrarios en las páginas del sitio que se ejecutarán cuando un usuario acceda a una página inyectada.
Se recomienda a los usuarios del plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce actualizar a la última versión disponible para mitigar este riesgo de seguridad. Además, se aconseja a los administradores del sitio implementar prácticas de seguridad como validar y escapar la entrada de usuario para prevenir futuras vulnerabilidades de Cross-Site Scripting.