El plugin Envo’s Elementor Templates & Widgets for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta 1.4.4. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ajax_plugin_activation. Esto permite a atacantes no autenticados activar plugins instalados arbitrariamente a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad en Envo’s Elementor Templates & Widgets for WooCommerce deben actualizar a la última versión disponible, en este caso la 1.4.5, que incluye una corrección para la validación de nonce en la función ajax_plugin_activation. Además, se recomienda a los administradores del sitio que estén atentos a posibles acciones sospechosas en sus sitios y que implementen medidas de seguridad adicionales, como la autenticación de dos factores.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse de vulnerabilidades como CSRF. Al tomar medidas proactivas para garantizar la seguridad de su sitio, los administradores pueden reducir significativamente el riesgo de ser víctimas de ataques maliciosos.