Vulnerabilidad en Fluent Booking – The Ultimate Appointments Scheduling, Events Booking, Events Calendar Solution (CVE-2026-2231)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/03/2026
Última modificación:
30/03/2026
Descripción
El plugin Fluent Booking para WordPress es vulnerable a cross-site scripting almacenado a través de múltiples parámetros en todas las versiones hasta la 2.0.01, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto posibilita que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/fluent-booking/trunk/app/Hooks/Handlers/FrontEndHandler.php#L864
- https://plugins.trac.wordpress.org/browser/fluent-booking/trunk/app/Models/Booking.php#L440
- https://plugins.trac.wordpress.org/browser/fluent-booking/trunk/app/Models/Booking.php#L448
- https://plugins.trac.wordpress.org/browser/fluent-booking/trunk/app/Services/LocationService.php#L110
- https://plugins.trac.wordpress.org/browser/fluent-booking/trunk/app/Services/LocationService.php#L115
- https://plugins.trac.wordpress.org/changeset/3463540/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/37441cc0-c43c-40e4-a170-1be59e112272?source=cve