El plugin Notificación de Ventas en Vivo para Woocommerce – Woomotiv para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.4.3. Esto se debe a la falta o validación incorrecta de nonce en la función ‘ajax_cancel_review’. Esto hace posible que atacantes no autenticados restablezcan el recuento de revisiones del sitio a través de una solicitud falsificada siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible (o superior a la 3.4.3) tan pronto como sea posible. Además, se sugiere a los administradores de sitios web implementar medidas adicionales de seguridad, como la autenticación de dos factores, para protegerse de posibles ataques de Cross-Site Request Forgery.
Es fundamental que los propietarios de sitios web estén al tanto de las vulnerabilidades en los plugins de WordPress y tomen medidas proactivas para garantizar la seguridad de sus sitios. Mantener todos los plugins y temas actualizados es una de las mejores prácticas para protegerse contra ataques de seguridad.