El plugin Delete Custom Fields para WordPress es vulnerable a Falsificación de Petición entre Sitios (CSRF) en todas las versiones hasta, e incluyendo, la 0.3.1. Esto se debe a la falta o validación incorrecta de nonce en la función ajax_delete_field(). Esto hace posible que atacantes no autenticados eliminen datos de meta publicaciones arbitrarios a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Delete Custom Fields a la última versión disponible para corregir el problema. Además, se recomienda a los administradores del sitio que estén atentos a cualquier solicitud inusual que pueda llevar a la eliminación de metadatos de publicaciones sin su consentimiento.
Es fundamental que se tomen medidas proactivas para proteger la integridad de los datos del sitio web y prevenir posibles ataques CSRF. Mantener los plugins actualizados y educar a los usuarios sobre cómo identificar posibles amenazas de seguridad son pasos clave para mejorar la seguridad de WordPress.