El plugin de WordPress WP Simple Booking Calendar es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg y remove_query_arg sin escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 2.0.10. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
La vulnerabilidad CVE-2024-8663 se produce debido a la falta de neutralización adecuada de la entrada durante la generación de páginas web. Como resultado, los atacantes pueden realizar ataques de scripting entre sitios reflejados, lo que les permite ejecutar código malicioso en el navegador de las víctimas. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y seguir buenas prácticas de seguridad, como no hacer clic en enlaces sospechosos.
Es fundamental que los usuarios de WP Simple Booking Calendar estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios web. Al mantener su plugin actualizado y practicar la debida diligencia en la navegación web, los usuarios pueden reducir el riesgo de ser víctimas de ataques de Cross-Site Scripting.