Vulnerabilidad en My Calendar – Accessible Event Manager (CVE-2026-2355)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/03/2026
Última modificación:
04/03/2026
Descripción
El plugin My Calendar – Accessible Event Manager para WordPress es vulnerable a ataques de tipo Stored Cross-Site Scripting a través del atributo «template» del shortcode «[my_calendar_upcoming]» en todas las versiones hasta la 3.7.3, incluida esta. Esto se debe al uso de «stripcslashes()» en los valores de los atributos de los códigos cortos proporcionados por el usuario en la función «mc_draw_template()», que decodifica las secuencias de escape hexadecimales de estilo C (por ejemplo, «\x3c» a «<») en el momento de la representación, eludiendo la sanitización de contenido «wp_kses_post()» de WordPress que se ejecuta en el momento del guardado. Esto permite a los atacantes autenticados, con acceso de nivel colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/my-calendar/tags/3.7.2/my-calendar-shortcodes.php#L112
- https://plugins.trac.wordpress.org/browser/my-calendar/tags/3.7.2/my-calendar-templates.php#L83
- https://plugins.trac.wordpress.org/browser/my-calendar/trunk/my-calendar-shortcodes.php#L112
- https://plugins.trac.wordpress.org/browser/my-calendar/trunk/my-calendar-templates.php#L83
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3464603%40my-calendar%2Ftrunk&old=3454989%40my-calendar%2Ftrunk&sfp_email=&sfph_mail=#file6
- https://www.wordfence.com/threat-intel/vulnerabilities/id/03d5c82e-f82f-4156-bb3e-e6eb365a6c36?source=cve