Booking Calendar <= 10.11.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via wpbc Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Booking Calendar, que afecta a versiones hasta la 10.11.1. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador y superior inyectar scripts maliciosos a través del shortcode wpbc.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja el shortcode wpbc, permitiendo que se inserten scripts no sanitizados en el contenido. Esto puede ser aprovechado por un atacante para ejecutar código JavaScript en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios, comprometiendo así la seguridad de la instalación de WordPress y la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la creación de contenido que incluya el shortcode vulnerable, que al ser visualizado por otros usuarios, ejecuta el script malicioso inyectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Booking Calendar a la versión 10.11.2 o superior. Además, se sugiere revisar los permisos de los usuarios y limitar el acceso a roles que no necesiten utilizar el shortcode wpbc.

Señales de detección

Se deben monitorizar los registros de actividad para detectar la inserción de códigos sospechosos en el contenido y estar atentos a reportes de comportamiento inusual por parte de los usuarios.

Alcance afectado

Las versiones del plugin Booking Calendar hasta la 10.11.1 están afectadas. Es crucial verificar si se utiliza esta versión en las instalaciones de WordPress.