El plugin Tourfic para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.11.20. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce en las funciones tf_order_status_email_resend_function, tf_visitor_details_edit_function, tf_checkinout_details_edit_function, tf_order_status_edit_function, tf_order_bulk_action_edit_function, tf_remove_room_order_ids y tf_delete_old_review_fields. Esto permite a atacantes no autenticados reenviar correos electrónicos de estado de pedido, actualizar detalles de visitantes/pedidos, editar detalles de check-in/out, editar estados de pedido, realizar actualizaciones masivas de estados de pedido, eliminar IDs de pedidos de habitaciones y eliminar campos de reseñas antiguas, respectivamente, mediante una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad en el plugin Tourfic pueden protegerse mediante la implementación de medidas de seguridad adicionales. Se recomienda habilitar y configurar correctamente las configuraciones de seguridad en la plataforma WordPress, como la verificación de nonce en las funciones vulnerables del plugin. Además, se sugiere a los administradores del sitio educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos o no solicitados para reducir el riesgo de que se aproveche esta vulnerabilidad.
Es crucial para los administradores de sitios WordPress mantenerse al tanto de las vulnerabilidades en plugins y temas, y tomar medidas proactivas para proteger sus sitios. Al seguir las best practices de seguridad y mantenerse informado sobre las últimas amenazas, se puede reducir significativamente el riesgo de compromiso de la seguridad de un sitio web.