El plugin File Manager Pro para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 8.3.9. Esto se debe a la validación de nonce faltante o incorrecta en la acción ‘mk_file_folder_manager’ ajax. Esto permite que atacantes no autenticados suban archivos arbitrarios a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, los usuarios afectados deben actualizar a la última versión del plugin tan pronto como esté disponible. Además, se recomienda a los administradores de sitios web que estén atentos a cualquier actividad inusual en sus sitios, especialmente en relación con la carga de archivos. Se aconseja realizar una revisión completa de los permisos de usuario y asegurarse de que solo aquellos que necesitan tener acceso a funciones de carga de archivos estén autorizados. También se recomienda implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y monitoreo de seguridad continuo.
Es crucial que los propietarios de sitios web y los administradores de WordPress tomen medidas proactivas para proteger sus sitios de estas vulnerabilidades conocidas. Mantener todos los plugins y temas actualizados, así como seguir buenas prácticas de seguridad, puede ayudar a prevenir ataques CSRF y proteger la integridad de los sitios web de WordPress.