Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin 'Booking Calendar' en versiones hasta la 3.2.30. Esta falla podría permitir a usuarios no autorizados acceder a funciones restringidas del sistema.
Fuente base de datos: Wordfence Intelligence
Booking calendar, Appointment Booking System <= 3.2.30 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-67574
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la falta de controles adecuados de autorización en el plugin, lo que permite que ciertos usuarios accedan a funcionalidades que deberían estar protegidas. Esto se debe a una implementación inadecuada de las verificaciones de permisos en el código del plugin.
Impacto potencial
El impacto de esta vulnerabilidad podría ser significativo, ya que un atacante podría manipular el sistema de reservas, acceder a datos sensibles o realizar acciones no autorizadas, lo que podría comprometer la integridad y la confidencialidad de la información del negocio.
Vector de explotación
Generalmente, la explotación de esta vulnerabilidad se realiza mediante el acceso a funciones del plugin que no requieren autenticación adecuada, lo que puede ser facilitado por un atacante que se haga pasar por un usuario legítimo o que descubra enlaces directos a estas funciones.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Booking Calendar' a la versión 3.2.31 o superior. Además, se debe revisar la configuración de permisos y realizar pruebas de seguridad periódicas para asegurar que no existan otras vulnerabilidades similares.
Señales de detección
Señales de riesgo pueden incluir accesos no autorizados a funciones administrativas del plugin, cambios inesperados en la configuración de reservas o alertas de actividad inusual en los registros de acceso.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin 'Booking Calendar' hasta la 3.2.30. Los usuarios que no hayan actualizado a la versión 3.2.31 o superior están en riesgo.
Vulnerabilidades relacionadas
HIGH
PLUGIN
booking-calendar
Booking calendar, Appointment Booking System <= 3.2.36 - Unauthenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
booking-calendar
Booking calendar, Appointment Booking System <= 3.2.17 - Unauthenticated Time-Based SQL Injection via 'wpdevart_id'
MEDIUM
PLUGIN
booking-calendar
Booking Calendar and Booking Calendar Pro <= Multiple Versions - Reflected Cross-Site Scripting via 'calendar_id'
MEDIUM
PLUGIN
booking-calendar
Booking Calendar WpDevArt <= 3.2.19 - Authenticated (Contributor+) SQL Injection
HIGH
PLUGIN
booking-calendar
Booking calendar, Appointment Booking System <= 3.2.15 - Unauthenticated Stored Cross-Site Scripting via SVG File Upload
MEDIUM
PLUGIN
booking-calendar
Booking calendar, Appointment Booking System <= 3.2.3 - Missing Authorization
HIGH
PLUGIN
booking-calendar
Booking Calendar WpDevArt <= 3.2.11 - Authenticated (Admin+) SQL Injection
HIGH
PLUGIN
booking-calendar
Booking calendar, Appointment Booking System <= 3.2.8 - Multiple Authenticated(Editor+) SQL Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto