La vulnerabilidad CSRF (Cross-Site Request Forgery) en el plugin Gestpay for WooCommerce para WordPress afecta a todas las versiones hasta, e incluyendo, la 20221130. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en la función ‘ajax_set_default_card’. Esto permite a atacantes no autenticados establecer el token de tarjeta predeterminado para un usuario a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
Es importante que los usuarios de Gestpay for WooCommerce actualicen el plugin a la última versión disponible lo antes posible para mitigar el riesgo de esta vulnerabilidad. Además, se recomienda a los administradores del sitio que implementen medidas de seguridad adicionales, como la utilización de plugins de seguridad de WordPress que puedan ayudar a proteger contra ataques CSRF, y que estén atentos a posibles actividades sospechosas en el panel de administración.
La seguridad de un sitio web es responsabilidad tanto de los desarrolladores de plugins como de los administradores del sitio. Mantener todo el software actualizado y seguir buenas prácticas de seguridad puede ayudar a prevenir vulnerabilidades como esta CSRF en Gestpay for WooCommerce.