Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin de Gestpay para WooCommerce en todas las versiones hasta, e incluyendo, la 20221130. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘ajax_unset_default_card’, lo que permite a atacantes no autenticados eliminar el estado predeterminado de un token de tarjeta para un usuario a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin de Gestpay for WooCommerce a la última versión disponible. Además, es importante recordar a los administradores de sitios web la importancia de no hacer clic en enlaces sospechosos o no verificados, ya que esto puede abrir la puerta a posibles ataques CSRF.
La seguridad de un sitio web es responsabilidad de todos los involucrados. Mantener los plugins y temas actualizados, junto con buenas prácticas de seguridad como la autenticación de dos factores, puede ayudar a prevenir ataques como el CSRF en Gestpay for WooCommerce.