La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress afecta a todas las versiones hasta y incluyendo la 2.6.1. Esta vulnerabilidad se debe a una validación de nonce faltante o incorrecta en la función erase_tutor_data(). Esto permite que atacantes no autenticados desactiven el plugin y borren todos los datos a través de una solicitud falsificada si logran engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. Esto requiere que la opción ‘Borrar al desinstalar’ esté activada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin (si está disponible) que contenga una corrección para este problema de seguridad. Además, se sugiere no hacer clic en enlaces desconocidos o sospechosos y mantenerse al tanto de las actualizaciones de seguridad de los plugins instalados en WordPress. Es importante también revisar regularmente los permisos de los usuarios en el sitio para asegurarse de que no haya cuentas con privilegios excesivos que puedan ser comprometidas.
La seguridad en WordPress es fundamental para proteger la integridad de los datos y la privacidad de los usuarios. Es responsabilidad de los administradores de sitios web mantenerse informados sobre las vulnerabilidades conocidas y tomar medidas proactivas para mantener sus sitios seguros.