Esperti di sicurezza informatica di Wordfence hanno scoperto una vulnerabilità nel plugin Pretty Google Calendar di WordPress: è vulnerabile ad attacchi di tipo Stored Cross-Site Scripting (XSS) e colpisce le versioni dal 1.5.1 alla 1.6.0 del plugin.
La causa di questa vulnerabilità risiede nell’insufficiente sanificazione dell’input e nell’escape dell’output sugli attributi forniti dall’utente. Questo errore consente agli aggressori autenticati con autorizzazioni a livello di collaboratore e superiori di inserire script web arbitrari nelle pagine coinvolte. Gli script dannosi verranno eseguiti ogni volta che un utente accede a tali pagine.
La vulnerabilità è stata classificata di media gravità e sanata nelle versioni 1.6.0 e successive. Pertanto, gli esperti consigliano vivamente a tutti gli utenti di aggiornare immediatamente Pretty Google Calendar alla versione più recente disponibile.