En Anàlisi

ALT: (7.2)

CVSS3: 6.3

El plugin Hotel Booking Lite by MotoPress per a WordPress és vulnerable al cross–site scripting, causat per la validació inadequada de l’entrada proporcionada per l’usuari en el script edit.php. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant el camp post_type per a injectar un script maliciós en una pàgina web que s’executaria en el navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, una vegada que la pàgina sigui vista. Un atacant podria fer servir aquesta vulnerabilitat per a robar les credencials d’autenticació basades en cookies de la víctima.

Sistemes Afectats

• WordPress Hotel Booking plugin by MotoPress plugin for WordPress 4.2.4
• WordPress Hotel Booking plugin by MotoPress plugin for WordPress 4.2.3

Remediació
Actualitza a l’última versió del plugin Hotel Booking Lite by MotoPress per a WordPress (4.2.5 o posterior), disponible en el directori de plugins de WordPress.

Referències

• https://packetstormsecurity.com/files/167460
• https://www.exploit-db.com/exploits/50951
• https://wordpress.org/plugins/motopress-hotel-booking-lite/