WP Booking Calendar <= 10.6.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Booking Calendar en versiones hasta la 10.6.2. Esta vulnerabilidad permite a administradores autenticados ejecutar scripts maliciosos en el contexto del navegador de otros usuarios.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja ciertas entradas de usuario, permitiendo que se almacenen scripts no sanitizados. Esto crea una superficie de ataque donde un atacante puede inyectar código JavaScript que se ejecutará cuando otros usuarios accedan a la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto afecta la confianza del usuario y puede dañar la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la inyección de scripts en campos de entrada del plugin. Un atacante debe estar autenticado como administrador para poder aprovechar esta vulnerabilidad, lo que limita el alcance de la misma, pero no elimina el riesgo.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WP Booking Calendar a la versión 10.6.3 o posterior. Además, es aconsejable revisar y sanitizar todas las entradas de usuario y aplicar políticas de seguridad de contenido (CSP) adecuadas.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas, ejecución de scripts no autorizados o alertas de seguridad en los navegadores de los usuarios.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP Booking Calendar hasta la 10.6.2. Las instalaciones que no han actualizado a la versión 10.6.3 están en riesgo.