Vulnerabilidad en Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress (CVE-2025-4667)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/06/2025
Última modificación:
16/06/2025
Descripción
El complemento Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress es vulnerable a cross-site-scripting almacenado a través de los shortcodes ssa_admin_upcoming_appointments, ssa_admin_upcoming_appointments y ssa_past_appointments en todas las versiones hasta la 1.6.8.30 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/simply-schedule-appointments/tags/1.6.8.24/includes/class-shortcodes.php#L718
- https://plugins.trac.wordpress.org/browser/simply-schedule-appointments/tags/1.6.8.24/includes/class-shortcodes.php#L754
- https://plugins.trac.wordpress.org/browser/simply-schedule-appointments/tags/1.6.8.24/includes/class-shortcodes.php#L784
- https://plugins.trac.wordpress.org/changeset/3306064/simply-schedule-appointments/tags/1.6.8.32/includes/class-shortcodes.php
- https://wordpress.org/plugins/simply-schedule-appointments/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/414173b9-d23e-4e44-bf8c-77a074bb09e9?source=cve