Booking Calendar and Booking Calendar Pro <= Multiple Versions - Reflected Cross-Site Scripting via 'calendar_id'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Booking Calendar y Booking Calendar Pro, que afecta a múltiples versiones anteriores a la 3.2.20. Este fallo permite la inyección de scripts maliciosos a través del parámetro 'calendar_id'.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja el parámetro 'calendar_id', permitiendo que un atacante inyecte código JavaScript que se ejecuta en el navegador de la víctima. Esto se considera una vulnerabilidad de XSS reflejado, donde el código se ejecuta inmediatamente tras la interacción del usuario con la aplicación web.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios al permitir a un atacante robar información sensible, como cookies de sesión o credenciales. Esto puede resultar en un impacto negativo en la reputación del negocio y en la confianza de los usuarios.

Vector de explotación

Normalmente, un atacante podría enviar un enlace malicioso que incluya un script inyectado en el parámetro 'calendar_id'. Al hacer clic en este enlace, la víctima ejecutaría el script en su navegador, permitiendo al atacante realizar acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Booking Calendar y Booking Calendar Pro a la versión 3.2.20 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la validación y escape de datos de entrada y salida.

Señales de detección

Se pueden detectar intentos de explotación observando patrones inusuales en las solicitudes HTTP que incluyan el parámetro 'calendar_id' con contenido sospechoso o scripts.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.2.20 del plugin Booking Calendar y Booking Calendar Pro.