La vulnerabilidad CVE-2024-6930 afecta al plugin de WordPress WP Booking Calendar, permitiendo a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas del sitio.
El plugin WP Booking Calendar hasta la versión 10.2.1 es vulnerable a XSS almacenado a través del atributo ‘type’ dentro del shortcode bookingform del plugin. Esto se debe a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Como resultado, un atacante autenticado puede inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar WP Booking Calendar a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados regularmente para minimizar el riesgo de explotación de vulnerabilidades conocidas.