El plugin Events Manager – Calendar, Bookings, Tickets, and more! para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 6.4.7.1. Esto se debe a la falta o validación incorrecta de nonce en varias acciones. Esto permite que atacantes no autenticados modifiquen estados de reservas mediante una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad en el plugin Events Manager deben actualizar a la última versión disponible, en este caso la versión 6.4.7.2 que corrige este problema de seguridad. Además, se recomienda a los usuarios configurar adecuadamente las restricciones de acceso y privilegios dentro de su sitio web para ayudar a prevenir ataques de Cross-Site Request Forgery.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar ser víctima de vulnerabilidades conocidas como Cross-Site Request Forgery. La seguridad de un sitio web es responsabilidad tanto de los desarrolladores de los plugins como de los propietarios del sitio, por lo que es importante trabajar en conjunto para garantizar un entorno seguro para los usuarios.