El plugin Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.8.6. Esto se debe a una validación de nonce faltante o incorrecta en la función admin_init o user_action_hook. Esto hace posible que atacantes no autenticados modifiquen el estado de membresía de un usuario a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
La vulnerabilidad de CSRF en Ultimate Member <= 2.8.6 permite a un atacante modificar el estado de membresía de un usuario sin su consentimiento. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible. Además, se debe vigilar de cerca cualquier solicitud sospechosa que pueda cambiar el estado de membresía de los usuarios. Implementar medidas de seguridad adicionales, como el uso de Firewalls de aplicaciones web (WAF) y la restricción de acceso a funciones críticas del plugin, también puede ayudar a proteger el sitio contra posibles ataques CSRF.
Es crucial estar al tanto de las vulnerabilidades en los plugins de WordPress y tomar medidas proactivas para protegerse contra posibles ataques. Mantener todos los plugins y temas actualizados, supervisar de cerca el tráfico del sitio y educar a los administradores del sitio sobre las prácticas recomendadas de seguridad son pasos importantes para garantizar la integridad y seguridad del sitio web.