Vulnerabilidad XSS en el complemento ‘ReDi Restaurant Booking’ de WordPress

Se ha reportado una vulnerabilidad XSS en el plugin de WordPress «ReDi Restaurant Reservation», el cual permite a los negocios de restaurantes gestionar las reservas de sus clientes.

El investigador en ciberseguridad, Bastijn Ouwendijk, alertó el día 15 de abril a los creadores del plugin, de una vulnerabilidad de tipo Cross-Site Scripting (XSS) la cual afectaba a versiones anteriores a la 21.0307.

Registrada bajo el ID CVE-2021-24299, esta vulnerabilidad es fácil de explotar y permitiría a los atacantes no autenticados, acceder a los datos de reserva, información de clientes, e incluso, filtrar la clave API privada del plugin, almacenados en el sitio web de los propietarios de los restaurantes, simplemente enviando un fragmento de código malicioso JavaScript en el campo de comentarios de reserva.

La explotación exitosa requiere la interacción del usuario por parte de la víctima y la vulnerabilidad es catalogada de riesgo medio con una puntuación CVSSv3 de 6.3.

Se recomienda a los administradores de los sitios web, actualizar «ReDi Restaurant Reservation» a la versión 21.0426 o superior.

Referencias: