El plugin EnvíaloSimple: Email Marketing y Newsletters para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.3. Esto se debe a la falta de validación de nonce en la función gallery_add. Esto hace posible que atacantes no autenticados carguen archivos maliciosos a través de una petición falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
La vulnerabilidad CVE-2024-2125 permite a un atacante hacer una solicitud falsificada a través de un sitio web vulnerable, aprovechando la confianza que el servidor tiene en el usuario y lograr así cargar archivos maliciosos en el servidor. Para evitar la explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar su plugin EnvíaloSimple a la última versión disponible. Además, se puede implementar la protección de Cross-Site Request Forgery (CSRF) en el sitio para prevenir este tipo de ataques.
Es crucial que los administradores de sitios web estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios. Mantener todos los plugins y temas actualizados, junto con la implementación de medidas de seguridad adicionales, puede ayudar a prevenir ataques como el descrito en este artículo.