El plugin AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.99.1. Esto se debe a la falta o validación incorrecta de nonce en la función ‘proxy’. Esto hace posible que atacantes no autenticados envíen las cookies del usuario conectado a su propio servidor a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin AMP for WP a la última versión disponible lo antes posible. Además, se recomienda a los administradores del sitio estar atentos a posibles actividades sospechosas en sus sitios web, como cambios no autorizados en la configuración o accesos no reconocidos a la administración del sitio. También se sugiere implementar medidas adicionales de seguridad, como la autenticación de dos factores y la limitación de acceso a determinadas funciones a roles específicos de usuario.
Es fundamental que los usuarios de AMP for WP – Accelerated Mobile Pages tomen medidas inmediatas para proteger sus sitios web against esta vulnerabilidad de Cross-Site Request Forgery y eviten posibles consecuencias negativas, como la escalada de privilegios de los atacantes.