El plugin Theme My Login para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 7.1.7. Esto se debe a la falta o validación incorrecta del nonce en la función tml_admin_save_ms_settings(). Esto hace posible que atacantes no autenticados actualicen la configuración del tema a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. Por favor, tenga en cuenta que esto solo afecta a instancias de multi-sitio.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin Theme My Login a la última versión disponible lo antes posible. Además, se sugiere que los administradores de sitios web estén atentos a posibles solicitudes sospechosas que intenten cambiar la configuración del tema y que implementen medidas de seguridad adicionales, como la autenticación de dos factores, para protegerse contra ataques CSRF.
Es crucial que los propietarios de sitios web tomen medidas proactivas para proteger sus sitios de vulnerabilidades conocidas, como la CSRF en el plugin Theme My Login. Mantener todos los plugins y temas actualizados, junto con prácticas de seguridad sólidas, es fundamental para garantizar la integridad de un sitio web en WordPress.