CVE-2026-7332: XSS en LatePoint Calendar Booking Plugin
Plataforma
wordpress
Componente
latepoint
Corregido en
5.5.1
El plugin LatePoint – Calendar Booking Plugin for Appointments and Events para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) de tipo almacenado. Esta falla permite a atacantes inyectar scripts web maliciosos a través del parámetro 'bookingformpage_url', que se ejecutan cuando un usuario accede a la página inyectada. Las versiones afectadas son aquellas iguales o inferiores a la 5.5.0. Se recomienda actualizar a la versión 5.5.1 para mitigar el riesgo.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La vulnerabilidad XSS en LatePoint Calendar Booking Plugin permite a un atacante inyectar código JavaScript malicioso en las páginas del sitio web. Esto puede resultar en el robo de credenciales de usuario, redirecciones a sitios web maliciosos, o la modificación del contenido de la página. Dado que la inyección se almacena, cualquier usuario que visite la página comprometida será víctima del ataque, independientemente de su nivel de privilegios. La falta de sanitización adecuada de la entrada 'bookingformpage_url' es la causa raíz del problema, permitiendo la ejecución de código arbitrario en el contexto del navegador del usuario. Un atacante podría, por ejemplo, robar cookies de sesión para obtener acceso no autorizado al panel de administración de WordPress.
Contexto de Explotación
La vulnerabilidad CVE-2026-7332 fue publicada el 5 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de XSS la convierte en un objetivo atractivo para atacantes. La probabilidad de explotación se considera media debido a la facilidad de inyección y el impacto potencial. No se encuentra en KEV (Known Exploited Vulnerabilities) a la fecha de publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.21% (44% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La solución principal es actualizar el plugin LatePoint Calendar Booking Plugin a la versión 5.5.1 o superior, que corrige la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Una opción es restringir el acceso al parámetro 'bookingformpage_url' a usuarios autenticados y con privilegios adecuados. Otra medida es implementar un Web Application Firewall (WAF) que filtre las solicitudes HTTP en busca de patrones sospechosos de inyección de código. Además, se recomienda revisar y reforzar las políticas de seguridad de contenido (CSP) para limitar la ejecución de scripts desde fuentes no confiables. Después de la actualización, verifique la correcta funcionalidad del plugin y la ausencia de errores.
Cómo corregirlo
Actualice a la versión 5.5.1 o a una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-7332 — XSS en LatePoint Calendar Booking Plugin?
CVE-2026-7332 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin LatePoint Calendar Booking Plugin para WordPress, que permite a atacantes inyectar código malicioso.
Am I affected by CVE-2026-7332 en LatePoint Calendar Booking Plugin?
Sí, si está utilizando una versión del plugin LatePoint Calendar Booking Plugin igual o inferior a 5.5.0, es vulnerable a esta vulnerabilidad.
How do I fix CVE-2026-7332 en LatePoint Calendar Booking Plugin?
Actualice el plugin LatePoint Calendar Booking Plugin a la versión 5.5.1 o superior. Si no puede actualizar inmediatamente, aplique mitigaciones temporales como un WAF o restricciones de acceso.
Is CVE-2026-7332 being actively exploited?
No se ha reportado su explotación activa a la fecha, pero debido a la naturaleza de XSS, existe una probabilidad media de que sea explotado.
Where can I find the official LatePoint advisory for CVE-2026-7332?
Consulte el sitio web del desarrollador de LatePoint o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...