Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Fluent Booking – The Ultimate Appointments Scheduling, Events Booking, Events Calendar Solution <= 2.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 2.1.1

PLUGIN MEDIUM CVE-2026-57638

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Fluent Booking, afectando a versiones anteriores a la 2.1.1. Esta falla permite a usuarios autenticados con rol de 'Contributor+' inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en el componente Fluent Booking, específicamente en versiones hasta la 2.1.0. El ataque se produce cuando un usuario autenticado inserta contenido malicioso que es posteriormente almacenado y ejecutado en el navegador de otros usuarios, afectando la integridad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a atacantes inyectar scripts que roben datos sensibles o realicen acciones no autorizadas en nombre de otros usuarios. Esto podría dañar la reputación del negocio y comprometer la confianza del cliente.

Vector de explotación

La explotación se lleva a cabo mediante la inserción de código JavaScript en campos de entrada de datos que no están debidamente sanitizados, lo que permite que el código se ejecute en el contexto del navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin Fluent Booking a la versión 2.1.1 o superior. Revisar y sanitizar adecuadamente todos los campos de entrada de datos en el plugin. Implementar políticas de seguridad de contenido (CSP) para mitigar el riesgo de inyección de scripts.

Señales de detección

Monitorear los logs de actividad para detectar entradas sospechosas en campos de usuario, así como cualquier comportamiento inusual en la ejecución de scripts en el frontend.

Alcance afectado

Las versiones afectadas son todas aquellas anteriores a la 2.1.1. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

fluent-booking

Fluent Booking <= 2.0.01 - Unauthenticated Stored Cross-Site Scripting via Multiple Parameters

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad