Recopilación de vulnerabilidades WordPress.

Infinite-Scroll <= 2.6.2 – Cross-Site Request Forgery al Actualizar Configuraciones del Plugin

El plugin Infinite-Scroll para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.6.2. Esto se debe a la falta o validación incorrecta de nonce en las funciones process_ajax_edit y process_ajax_delete. Esto hace posible que atacantes no autenticados realicen cambios en la configuración del plugin a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.

Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Infinite-Scroll lo antes posible. También es importante seguir prácticas de seguridad como evitar hacer clic en enlaces sospechosos y mantener actualizados todos los plugins y temas de WordPress. Además, se puede implementar el uso de tokens CSRF para protegerse de este tipo de ataques.
Es crucial para los usuarios de WordPress estar al tanto de las vulnerabilidades en plugins populares como Infinite-Scroll y tomar medidas proactivas para proteger sus sitios web contra potenciales ataques CSRF.

Related Article