Tennis Court Bookings <= 1.2.7 - Reflected Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Tennis Court Bookings, afectando a versiones hasta la 1.2.7. Esta vulnerabilidad, catalogada con un nivel de severidad medio, puede ser explotada para inyectar scripts maliciosos en el navegador de los usuarios.

Contexto técnico

El fallo se origina en la falta de validación adecuada de las entradas del usuario, lo que permite que un atacante inyecte código JavaScript a través de parámetros reflejados en la respuesta del servidor. Esto puede afectar a cualquier parte de la interfaz donde se procesen datos introducidos por el usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo a un atacante robar información sensible, como cookies de sesión o credenciales. Además, puede dañar la reputación del sitio y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando enlaces manipulados a los usuarios, que al hacer clic en ellos, ejecutan el código malicioso en su navegador, lo que puede llevar a la realización de acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.2.7 o superior. Además, es aconsejable implementar medidas de validación y sanitización de datos en todas las entradas del usuario, así como utilizar Content Security Policy (CSP) para limitar la ejecución de scripts no autorizados.

Señales de detección

Se pueden detectar intentos de explotación mediante la monitorización de solicitudes HTTP que contengan parámetros sospechosos o scripts en las entradas del usuario. También se deben revisar los registros de actividad para identificar patrones inusuales.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.7 del plugin Tennis Court Bookings, lanzado antes del 7 de julio de 2025.