El plugin de respaldo WP STAGING Pro para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 5.6.0. Esta vulnerabilidad se debe a la falta de validación de nonce en el parámetro ‘sub’ llamado desde el plugin de respaldo WP STAGING – Backup Duplicator & Migration. Esto permite que atacantes no autenticados incluyan cualquier archivo local que termine en ‘-settings.php’ mediante una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin WP STAGING Pro – Backup Duplicator & Migration para evitar posibles ataques CSRF. Además, se recomienda a los administradores del sitio ser cautelosos al hacer clic en enlaces sospechosos y verificar la legitimidad de las solicitudes antes de realizar acciones que involucren la modificación de configuraciones del plugin. Mantener todos los plugins y temas actualizados es una buena práctica para prevenir posibles vulnerabilidades en WordPress.
Es fundamental que los usuarios de WP STAGING Pro – Backup Duplicator & Migration estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para mitigar el riesgo de posibles ataques. La seguridad en WordPress es responsabilidad de todos los usuarios, y mantenerse informado sobre las actualizaciones de seguridad es esencial para garantizar la protección de los sitios web.