WP Booking Calendar <= 10.6 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Booking Calendar en versiones hasta la 10.6. Este fallo permite a un usuario autenticado con privilegios de administrador ejecutar scripts maliciosos en el contexto de otros usuarios.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las entradas del usuario, lo que permite inyectar código JavaScript en el sistema. Esto se considera un ataque de XSS almacenado, donde el código malicioso se guarda y se ejecuta posteriormente en el navegador de otros usuarios que acceden a la aplicación.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar cookies de sesión, realizar redirecciones no autorizadas o incluso comprometer cuentas de usuarios. Esto podría resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la inyección de scripts en formularios o campos de entrada accesibles a administradores, que luego son visualizados por otros usuarios sin la debida sanitización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP Booking Calendar a la versión 10.6.1 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la validación y sanitización de entradas, así como el uso de Content Security Policy (CSP).

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas de administración, así como comportamientos inusuales en los navegadores de los usuarios, como redirecciones inesperadas o mensajes de alerta.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP Booking Calendar hasta la 10.6. La versión 10.6.1 y posteriores ya han corregido esta vulnerabilidad.