CVE-2024-5791

Nome do software vulnerável e versões afetadas:

O plugin “Online Booking & Scheduling Calendar for WordPress” da vcita para versões do WordPress até a 4.4.2, inclusive

Descrição:

O problema está relacionado a um ataque de Stored Cross-Site Scripting (XSS) por meio do parâmetro wp id, devido à ausência de verificações de autorização na função processAction, bem como à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários que serão executados sempre que um usuário acessar o painel wp-admin.

Recomendações:

Para versões até a 4.4.2, inclusive, atualize o plugin para uma versão superior à 4.4.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro wp id e à função processAction até que um patch esteja disponível.