El plugin WIP Incoming Lite para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.1.1. Esto se debe a la falta de validación de nonce incorrecta en la función save_option(). Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios que utilizan el plugin WIP Incoming Lite deben actualizar a la última versión disponible lo antes posible para mitigar esta vulnerabilidad de CSRF a XSS almacenado. Además, es recomendable implementar medidas de seguridad adicionales, como la configuración de reglas en el firewall para bloquear solicitudes maliciosas y la educación de los usuarios sobre los riesgos de hacer clic en enlaces no confiables.
Es fundamental que los administradores de sitios de WordPress estén al tanto de las vulnerabilidades en plugins como WIP Incoming Lite y tomen las medidas necesarias para proteger sus sitios y datos contra posibles ataques CSRF y XSS.