El complemento Nested Pages para WordPress es vulnerable a Falsificación de Solicitudes entre Sitios en todas las versiones hasta, e incluyendo, la 3.2.7. Esto se debe a la falta o incorrecta validación de nonce en la función ‘settingsPage’ y la falta de sanitización del parámetro ‘tab’. Esto hace posible que atacantes no autenticados llamen a archivos php locales a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar el complemento Nested Pages a la última versión disponible, en este caso, la 3.2.8. Además, se recomienda a los administradores del sitio estar atentos a posibles ataques de falsificación de solicitudes entre sitios y educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos.
Es fundamental mantener todos los complementos de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. La prevención y la concienciación son clave para mantener un sitio web seguro y protegido contra posibles ataques.