Recopilación de vulnerabilidades WordPress.

PropertyHive <= 2.0.19 – CSRF a través de save_account_details

El plugin PropertyHive para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.19. Esto se debe a la falta o validación incorrecta de nonce en la función ‘save_account_details’. Esto hace posible que atacantes no autenticados editen el nombre, dirección de correo electrónico y contraseña de una cuenta de administrador a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.

Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin PropertyHive a la última versión disponible para corregir la falta de validación de nonce en la función ‘save_account_details’. Además, se recomienda a los administradores del sitio que sean cautelosos al hacer clic en enlaces de fuentes desconocidas para evitar ser víctimas de ataques CSRF.
Es crucial que los administradores de sitios WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios de posibles ataques. La actualización regular de plugins y la educación en seguridad cibernética son elementos fundamentales en la protección de un sitio web.

Related Article