La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin LadiApp para WordPress permite a atacantes no autenticados modificar ajustes y crear nuevas publicaciones en un sitio web si logran engañar a un administrador para realizar una acción como hacer clic en un enlace.
El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de una verificación de nonce en la función init_endpoint() enganchada a través de ‘init’ en versiones hasta, e incluyendo, la 4.4. Esto hace posible que atacantes no autenticados modifiquen una variedad de ajustes, a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace. Un atacante puede modificar directamente el ‘ladipage_key’, lo que les permite crear nuevas publicaciones en el sitio e inyectar scripts web maliciosos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar su plugin LadiApp a la última versión disponible y estar atentos a cualquier actividad sospechosa en sus sitios web. Además, es importante educar a los administradores de sitios sobre las posibles amenazas de seguridad y la importancia de no hacer clic en enlaces desconocidos.