Vulnerabilidad en WPBookit de iqonicdesign (CVE-2026-1945)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/03/2026
Última modificación:
04/03/2026
Descripción
El plugin WPBookit para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros 'wpb_user_name' y 'wpb_user_email' en todas las versiones hasta la 1.0.8, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wpbookit/tags/1.0.8/core/admin/classes/controllers/class.wpb-booking-shortcode-controller.php#L534
- https://plugins.trac.wordpress.org/browser/wpbookit/trunk/core/admin/classes/controllers/class.wpb-booking-shortcode-controller.php#L534
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3467556%40wpbookit&new=3467556%40wpbookit
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5954c682-c772-420a-a764-342418c1e71c?source=cve