El plugin WPForms – Constructor de Formularios Fácil para WordPress – Formularios de Contacto, Formularios de Pago, Encuestas, y Más para WordPress es vulnerable a Falsificación de Petición Cruzada en todas las versiones hasta, e incluyendo, la 1.9.1.6. Esto se debe a la falta de validación de nonce incorrecta en la función process_admin_ui. Esto hace posible que atacantes no autenticados eliminar registros de WPForm mediante una solicitud falsificada siempre que puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar a la última versión del plugin WPForms lo antes posible para mitigar el riesgo de ser atacados. Además, se recomienda a los administradores del sitio ser cautelosos al hacer clic en enlaces desconocidos o sospechosos que podrían llevar a acciones involuntarias en el panel de administración del plugin.
Es crucial que los usuarios de WPForms estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios web. Mantener el software actualizado y seguir las buenas prácticas de seguridad en Internet son pasos fundamentales para prevenir ataques CSRF en WordPress.