Informazioni sul CVE-2024-12077
Booking Calendar and Booking Calendar Pro <= Multiple Versions – Reflected Cross-Site Scripting via 'calendar_id'
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-12077
Descrizione: Il plugin “Booking Calendar” e “Booking Calendar Pro” per WordPress è vulnerabile a Reflected Cross-Site Scripting tramite il parametro “calendar_id” in tutte le versioni fino a e inclusa la 3.2.19 e la 11.2.19. A causa di una scarsa sanificazione e escaping dell’input, questo permette agli attaccanti non autenticati di iniettare script web arbitrari in pagine che vengono eseguite se un utente può essere ingannato in un’azione, come cliccare su un link.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://www.wordfence.com/threat-intel/vulnerabilities/id/81cc09ee-da3d-407d-82c0-542b56df5aed?source=cve
- https://plugins.trac.wordpress.org/browser/booking-calendar/tags/3.2.16/admin/views/Reservations.php#L528
- https://plugins.trac.wordpress.org/browser/booking-calendar/tags/3.2.16/admin/views/Reservations.php#L532
- https://plugins.trac.wordpress.org/changeset/3209851/
Prodotti interessati
- wpdevart – Booking calendar, Appointment Booking System
- WpDevArt – Booking Calendar Pro WpDevArt
Relazioni con altri prodotti
Produttore:WpDevArt
Prodotto: Booking calendar
Anno: 2024
CWE: CWE-79
CVSS: 0.0
Produttore:WpDevArt
Prodotto: Appointment Booking System
Anno: 2024
CWE: CWE-79
CVSS: 0.0
Produttore:WpDevArt
Prodotto: Booking Calendar Pro WpDevArt
Anno: 2024
CWE: CWE-79
CVSS: 0.0