Recopilación de vulnerabilidades WordPress.

Brizy – Page Builder <= 2.5.1 – Cross-Site Request Forgery (CVE-2024-6254)

El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.5.1. Esto se debe a la validación incorrecta o faltante de nonces en las presentaciones de formularios.

Esto permite que atacantes no autenticados envíen formularios destinados al uso público como otro usuario a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. En sitios donde se permite unfiltered_html, esto puede llevar a que el administrador añada inconscientemente una carga útil de Stored Cross-Site Scripting.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin Brizy – Page Builder a la última versión disponible. Además, se sugiere ser cauteloso al hacer clic en enlaces y verificar la legitimidad de las solicitudes de formularios para evitar posibles ataques de Cross-Site Request Forgery.

Related Article