CVE-2024-8274

Nome do software vulnerável e versões afetadas:

Plugin WP Booking Calendar para versões do WordPress até a 10.5, inclusive

Descrição:

O problema está relacionado a um ataque de Cross-Site Scripting refletido (XSS) por meio de vários parâmetros de timeline obj, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações:

Para versões até a 10.5, inclusive, considere desativar o parâmetro timeline obj até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a páginas que utilizam o parâmetro timeline obj para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro timeline obj em páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.