La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress afecta a todas las versiones hasta la 1.35.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘create_module’ de formularios personalizados. Esto permite a atacantes sin autenticar crear formularios en borrador mediante una solicitud falsificada si logran engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso, la versión 1.35.2. Además, se recomienda a los administradores de sitios web estar atentos a posibles solicitudes sospechosas y no hacer clic en enlaces desconocidos. También pueden implementar medidas de seguridad adicionales, como el uso de firewalls de aplicaciones web para detectar y bloquear intentos de CSRF.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y software actualizados para prevenir vulnerabilidades como CSRF. La colaboración entre los administradores y los desarrolladores de plugins es clave para garantizar la protección de los sitios de WordPress.