Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Booking Calendar en versiones hasta la 10.14.1. Esta vulnerabilidad afecta a usuarios autenticados con rol de colaborador o superior.
Fuente base de datos: Wordfence Intelligence
Booking Calendar <= 10.14.1 - Authenticated (Contributor+) Stored Cross-Site Scripting
PLUGIN
MEDIUM
CVE-2025-9346
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la forma en que el plugin maneja la entrada de datos de los usuarios, permitiendo que un atacante inyecte scripts maliciosos que se almacenan y se ejecutan posteriormente en el navegador de otros usuarios. La superficie de ataque se amplía a cualquier usuario autenticado que tenga permisos para insertar contenido en el sistema.
Impacto potencial
La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos en el contexto de otros usuarios, lo que podría resultar en el robo de información sensible, suplantación de identidad o redirección a sitios maliciosos, afectando tanto la seguridad como la reputación del negocio.
Vector de explotación
Los atacantes suelen aprovechar esta vulnerabilidad enviando contenido malicioso a través de formularios que son procesados por el plugin, lo que permite que el código malicioso se almacene y se ejecute posteriormente cuando otros usuarios acceden a la página afectada.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Booking Calendar a la versión 10.14.2 o superior. Además, se sugiere implementar medidas de validación y saneamiento de entrada para cualquier dato que se introduzca en el sistema.
Señales de detección
Se pueden detectar posibles intentos de explotación a través de registros de actividad que muestren inserciones inusuales de contenido o la ejecución de scripts en páginas donde no deberían estar presentes.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin Booking Calendar hasta la 10.14.1. Es crucial que los usuarios que utilicen este plugin verifiquen su versión y realicen la actualización correspondiente.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
booking
Booking Calendar <= 10.14.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via bookingcalendar Shortcode
MEDIUM
PLUGIN
booking
Booking Calendar <= 10.14.7 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
booking
Booking Calendar <= 10.11.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via wpbc Shortcode
MEDIUM
PLUGIN
booking
Booking Calendar <= 10.9.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via 'booking' Shortcode
MEDIUM
PLUGIN
booking
WP Booking Calendar <= 10.6.4 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
booking
WP Booking Calendar <= 10.6.2 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
booking
WP Booking Calendar <= 10.6 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
booking
WP Booking Calendar <= 10.5 - Reflected Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto