La vulnerabilidad CVE-2024-13323 encontrada en el plugin de WordPress WP Booking Calendar hasta la versión 10.9.2 permite a atacantes autenticados con al menos nivel de contribuidor inyectar scripts maliciosos en las páginas del sitio web.
El problema radica en la falta de sanitización de entradas y escape de salida en los atributos proporcionados por el usuario al shortcode ‘booking’. Esto habilita a los atacantes autenticados a ejecutar scripts web arbitrarios en las páginas afectadas, poniendo en riesgo la seguridad de los usuarios que accedan a dichas páginas.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar WP Booking Calendar a la versión más reciente disponible y mantener un monitoreo constante de posibles actividades maliciosas en el sitio web.