El plugin de menú de WordPress — Superfly Responsive Menu es vulnerable a Falsificación de Petición en Sitios Cruzados (CSRF) en todas las versiones hasta, e incluyendo, la 5.0.29. Esta vulnerabilidad se debe a una validación de nonce faltante o incorrecta en la función ajax_handle_delete_icons(). Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. Es importante señalar que el CSRF fue parcheado en la versión 5.0.28, sin embargo, no se introdujo una protección adecuada contra la traversía de directorios hasta la 5.0.30.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin a la última versión disponible (5.0.30 o superior) para mitigar el riesgo de ataques CSRF. Además, se recomienda a los administradores del sitio ser cautelosos al hacer clic en enlaces y seguir prácticas de seguridad como no acceder a enlaces desconocidos o no confiables.
Es crucial que los usuarios de WordPress estén al tanto de esta vulnerabilidad en el plugin de menú Superfly Responsive Menu y tomen las medidas necesarias para proteger sus sitios contra posibles ataques CSRF. Mantener los plugins actualizados y seguir buenas prácticas de seguridad en línea ayudará a prevenir incidentes de seguridad.