El complemento Campos Extra de Comentarios para Entradas, Páginas y Tipos de Entradas para WordPress es vulnerable a Falsificación de petición entre sitios (CSRF) en todas las versiones hasta, e incluyendo, la 5.0. Esto se debe a la falta o validación incorrecta de nonce en varias acciones ajax. Esto permite que atacantes no autenticados invoquen esas acciones a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. Como resultado, pueden modificar los campos del formulario de comentarios y actualizar la configuración del complemento.
Para subsanar este problema, se recomienda a los usuarios actualizar el complemento a la última versión disponible. Además, se aconseja a los administradores del sitio web estar atentos a posibles enlaces sospechosos o acciones inusuales en el panel de administración. Se recomienda también implementar medidas de seguridad adicionales, como la autenticación de dos factores para reducir el riesgo de falsificación de petición entre sitios.
La falsificación de petición entre sitios es una vulnerabilidad seria que puede ser explotada por atacantes malintencionados. Es fundamental tomar medidas proactivas para protegerse a sí mismo y a su sitio web, como mantener todos los complementos y temas actualizados, así como estar al tanto de las últimas amenazas de seguridad en WordPress.