Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WP Booking Calendar <= 10.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via bookingform Shortcode

PLUGIN MEDIUM CVE-2024-6930

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Booking Calendar, que afecta a las versiones hasta la 10.2.1. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos a través del shortcode bookingform.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas del usuario en el shortcode bookingform. Un atacante con privilegios de contribuidor o superiores puede insertar código JavaScript en las entradas, lo que se traduce en un ataque XSS almacenado, afectando a otros usuarios que visualicen la información comprometida.

Impacto potencial

Si se explota esta vulnerabilidad, un atacante podría ejecutar scripts arbitrarios en el navegador de otros usuarios, lo que podría llevar al robo de datos sensibles, suplantación de identidad o redirección a sitios maliciosos. Esto representa un riesgo significativo tanto para la integridad de la información como para la reputación del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la creación de entradas maliciosas a través del shortcode bookingform, que luego son visualizadas por otros usuarios, ejecutando así el código inyectado en sus navegadores.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WP Booking Calendar a la versión 10.2.2 o superior. Además, se sugiere revisar las configuraciones de permisos de los usuarios y aplicar medidas de validación y sanitización de entradas en el uso de shortcodes.

Señales de detección

Las señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas generadas por el shortcode bookingform o reportes de comportamientos inusuales por parte de los usuarios al interactuar con el calendario de reservas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 10.2.2 del plugin WP Booking Calendar. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión actual.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

booking

Booking Calendar <= 10.14.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via bookingcalendar Shortcode

Ver ficha
MEDIUM PLUGIN

booking

Booking Calendar <= 10.14.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

booking

Booking Calendar <= 10.14.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

booking

Booking Calendar <= 10.11.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via wpbc Shortcode

Ver ficha
MEDIUM PLUGIN

booking

Booking Calendar <= 10.9.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via 'booking' Shortcode

Ver ficha
MEDIUM PLUGIN

booking

WP Booking Calendar <= 10.6.4 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

booking

WP Booking Calendar <= 10.6.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

booking

WP Booking Calendar <= 10.6 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad