El plugin User Role Editor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.64.3. Esto se debe a la falta o validación incorrecta de nonce en la función update_roles(). Esto permite a atacantes no autenticados agregar o eliminar roles para usuarios arbitrarios, incluyendo la escalada de privilegios a administrador, a través de una solicitud falsificada si logran engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para subsanar este problema, los usuarios afectados deben actualizar a la última versión del plugin User Role Editor tan pronto como sea posible. Además, se recomienda a los administradores de sitios web estar alerta a posibles solicitudes o acciones sospechosas que podrían ser utilizadas para llevar a cabo un ataque CSRF.
Es crucial mantener todos los plugins y temas de WordPress actualizados para mitigar posibles vulnerabilidades de seguridad. Además, la educación y concientización sobre las buenas prácticas de seguridad en línea son fundamentales para proteger los sitios web de ataques maliciosos.