Appointment Booking Calendar <= 1.3.34 - CSV Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección CSV en el plugin Appointment Booking Calendar, que afecta a las versiones hasta la 1.3.34. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 7.8.

Contexto técnico

La vulnerabilidad permite a un atacante inyectar código malicioso en archivos CSV generados por el plugin, lo que puede comprometer la seguridad de los datos al ser abiertos por usuarios desprevenidos. La superficie de ataque se centra en la funcionalidad de exportación de datos del plugin.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la manipulación de datos y a la posible ejecución de código malicioso en el entorno del usuario final. Esto puede resultar en pérdida de datos, robo de información sensible y daños a la reputación de la empresa.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la creación de entradas maliciosas que, al ser exportadas a un archivo CSV, ejecuten código no autorizado al ser abierto por usuarios que confían en el contenido.

Mitigación recomendada

Actualizar el plugin Appointment Booking Calendar a la versión 1.3.35 o superior. Además, se recomienda revisar las configuraciones de seguridad del sitio y limitar el acceso a la funcionalidad de exportación a usuarios de confianza.

Señales de detección

Señales de posible explotación incluyen la aparición de archivos CSV generados con contenido sospechoso o la actividad inusual en los registros de acceso relacionados con la funcionalidad de exportación del plugin.

Alcance afectado

Las versiones del plugin Appointment Booking Calendar hasta la 1.3.34 están afectadas. Es importante verificar la versión instalada en las instalaciones de WordPress.